رفتن به مطلب
انجمن تیم امنیتی گارد ایران

ارسال های توصیه شده

سلام خسته نباشید

من با Vega یه سایت و اسکن کردم و در قسمت login.php باگ وجود داره تو قسمت Contact و یسری قسمت های دیگه

در قسمت resource در اسکنر وگا که script source نوشته چجوری میشه ازش استفاده کرد؟

متلا یکی از سورس اسکریپت ها این ادرس هستش

https://www.google.com/recaptcha/api.js?render=onload

وارد ادرس میشم این اسکریپت هستش

/* PLEASE DO NOT COPY AND PASTE THIS CODE. */(function() {if (!window['___grecaptcha_cfg']) { window['___grecaptcha_cfg'] = {}; };if (!window['___grecaptcha_cfg']['render']) { window['___grecaptcha_cfg']['render'] = 'onload'; };window['__google_recaptcha_client'] = true;var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true;po.src = 'https://www.gstatic.com/recaptcha/api2/r20160111094128/recaptcha__en.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s);})();

 

طریق استفاده از این ها چجوریه؟توضیح بدین ممنون میشم :o

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

سلام با وگا یه سایت اسکن کردم و باگ xssداشت که در قسمت high هست اما تو این اموزش توسط مدیر فقط نشون داد رنگ فونت و... اگه میشه یه اموزش حرفه ای بزارید که بهشه باهاش به سایت نفوز کرد فکر کنم باید ادمین پیج تارگتو داشته باشی که دارم منتظر جوابم ممنون

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

سلام با وگا یه سایت اسکن کردم و باگ xssداشت که در قسمت high هست اما تو این اموزش توسط مدیر فقط نشون داد رنگ فونت و... اگه میشه یه اموزش حرفه ای بزارید که بهشه باهاش به سایت نفوز کرد فکر کنم باید ادمین پیج تارگتو داشته باشی که دارم منتظر جوابم ممنون

سلام.

خوب عزیز این آموزش هایی که در سطح نت هست فقط کلیات رو توضیح داده چون برای استفاده از این باگ برای نفوذ به وبسایت یمک پروسه خیلی خیلی سخت و طولانی رو باید طی کنید.

خوب حتما میگید که چه پروسه ای رو طی میکنه؟

خوب اول از همه یدا کردن محل آسیب پذیری هست.

دوما ساخت یک هاست و یک اکسپلویت برای استخراج یوزر و پسورد.

ما میایم و با یک سری دستورات و کد ها یک صفحه جعلی به صورت پاپ آپ یا صفحه خود سایت میسازیم و در هاست خودمون ذخیرش میکنیم

تا وقتی که هر کاربری که وارد سایت میشه وقتی یوزر و پسوردش رو وارد کرد برای ما توی هاست ارسال بشه.

یا مستقیما اسکریپت استخراج کوکی هارو در اون صفحه قرار بدیم.

حالا اومدیم و کوکی هارو به دست آوردیم.حالا چی؟

میایم با کوکی گرابر کوکی هارو با توجه به نسخه و نوع مرورگر قربنی که در User-agent هست ست میکنیم و تمام.

موفق باشید

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

انجمن تیم امنیتی گارد ایران

تیم امنیتی گارد ایران یک گروه مستقل است که قوانین آن با خط مشی جمهوری اسلامی ایران مغایرت ندارد. تیم امنیتی گارد ایران از سال 1393 فعالیت خود را آغاز کرد و هدف این تیم تامین امنیت سایت ها و سرورهای ایرانی است. تیم ما همیشه برای دفاع از مرزهای سایبری سرزمین عزیزمان ایران آماده است.

شبکه های اجتماعی

×
×
  • اضافه کردن...