xss ne türde olduğunu söylersen sana yardımcı olabilirim, reflected xss dom-based xss ve stored xss türleri vardır bunlardan hangisini buldun
Hedef kişinin kullanıcı bilgilerini alabilirsin kardeş çoğu şeyi yapabilirsin ve bu sayede çoğu kişi para kazanıyor.
nasıl yapıldığını biliyor musun?
bilmesem niye diyeyim ?
nasıl yapıldığını biliyor musun?
yardımcı olur musun peki kardesim
ben acunetix programıyla tarattım siteyi ve Cross site scripting (verified) böyle bir açık buldu hemen altında : Vulnerability description
This script is possibly vulnerable to Cross Site Scripting (XSS) attacks.
Cross site scripting (also referred to as XSS) is a vulnerability that allows an attacker to send malicious code (usually in the form of Javascript) to another user. Because a browser cannot know if the script should be trusted or not, it will execute the script in the user context allowing the attacker to access any cookies or session tokens retained by the browser.
This vulnerability affects /tags/.
Discovered by: Scripting (XSS.script).
bunlar yazıyor ne tür olduğunu anlamadım
bu bulduğunla ancak alert attırırsın sayfaya bir işine yaramaz stored xss leri kovala ancak öyle session hijacking yapabilirsin yani inputtan düşen verileri ekrana yazdırmak yerine herhangi bir yere kaydediyor bu herhangi bir veritabanı dosya ya da data struct olabilir gönderdiğin payload veritabanına kaydolduğunda bu veri genellikle public veri olup herkesin görebileceği tarzda bir veri olduğundan hesaplarını çalmak istediğimiz userlar/adminler farkına bile varmadan arka planda payload çalışıyor olacak ve oturumların şifrelerini çalıyor olacağız (Genellikle MD5 türünde düşer)
alert attırmak için millet para veriyor senin haberin yok <script>alert("xss");</script> scripti ile $500 dolar kazananlar var hackerone.com a bakabilirisn.
Dostum sen facebookda googleda twitter wikipedia tarzı sitelerde alert attırırsan evet bu büyük bir olaydır ama şuan dandik bir takipçi sitesinden bahsediyoruz üstelik arkadaşda zaten userları alabilirmiyim diye sormuş, sonuç olarak bu arkadaş oraya alert attırsa da eline bir şey geçmez
Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.