XSS

Опубликовано (SEO, ВСЕ) by Delpher on 05-04-2008

Получить ссылку можно не только с каталога, коммента или просто спама гостевух, но еще можно использовать XSS-уязвимость. Об этом многие знают, в особенности про xss в phpinfo версии 4.2, но не все знают всех возможностей этого метода получения ссылок. Например, можно не только "вставить" ссылку, но и текст рядом с ней. Ведь на хорошие позиции влияет как текст самой ссылки, так и текст окружающий ее.

Допустим я хочу получить ссылку на свой блог с анкором "заработок в интернете", тогда я должен скормить поисковикам ссылку

http://grove.ufl.edu/~stewart/test/phpinfo.php?f[]=%3Ch1%3EЗаработок в интернете%3C/h1%3E%3Cbr%3E%3Ca%20href%3Dhttp%3A//delpher.od.ua%3EЗаработок в интернете%3C/a%3E

В итоге получиться вот так:

XSS

О структуре самой ссылки.

?f[]= - переменная в которой храниться html-код .

%3C <
%20 пробел
%3D =
%3A :
%3E >
В понятном ввиде ссылка имеет вид

?f[]=<h1>Заработок в интернете</h1><br><a href=http://delpher.od.ua/>Заработок в интернете</a>

Экспериментируйте;)

78 сайтов с phpinfo v 4.2

Подпишись на Е-mail рассылку:

  • Дополнение к прошлому посту про XSS
  • Прогон хрумером за копейки
  • Прощай x4u… но не навсегда
  • Составление ссылок для XAP
  • Google Chrome
  • Вывод webmoney в Украине
  • Советы по покупки ссылок
  • Комментарии:

    1. Спасибо, убил тему окончательно.

    2. Полезная статья, особенно список сайтов 🙂

    3. палемсо =))

    4. Я бы на вашем месте удалил любое упоминание об XSS!

    5. почему?

    6. XSS больше проживёт.

    7. XSS будет жить еще долго

    8. Не спорю, будет. Если если тему дальше не палить.
      Ты нет почитай, все уважающие себя форумы любое упоминание об XSS удаляют, а ТС в баню на неопределённый срок.

    9. мдя, чувствуется тему скоро уберут, потому что будут юзать все кому не лень :(((((((((

      на всех блогах и форумах активно кричат….

    10. Еслиб ещё народ юзал правильно, с умом (школьники)

    11. школьнеги это вообще отдельная тема. Много тем было прикрыто из-за них. Но от этого нельзя застраховаться. Перестать палить темы, имхо, не нужно, ведь не все нормальные манимейкеры все узнают из своего опыта.

    12. А с точки зрения закона, XSS это хак, т.е. хакерская атака, или как там называется?

    13. xss — это лазейка для вебмастеров т.е. траблы в системе поиска.

    14. Svility, это я понимаю, но это законный способ?

    15. Ежелев Денис, не думаю что xss можно рассматривать как хак, в принципе это хак, но ссылку может поставить и конкурент

    16. Ежелев Денис, тут так сразу и не скажешь законно это или нет. Думаю то что нет т.к. если ты нашёл уязвимость, ты должен о ней сообщить, а не использовать эту уязвимость и личных целях. Но это моё мнения, возможно я и не прав.

    17. […] Читать […]

    18. 100% хак и не законно. согласен с мнением svility

    19. Нафиг тогда такой метод!

    20. Ежелев Денис, этот метод работает поэтому и используют.

    21. Delpher, уже не так эффективно, но всё-же работает. xss никогда не «умрёт», может только эффективность прировняться в 1 из-за неопытных юзеров.

    22. Svility, ну сообщать не обязательно (тут дело совести каждого), но использовать уязвимость, действительно вне закона.
      Delpher, по поводу того, что скрывать темы не стоит… Возможно, в какой-то степени вы и правы, но и палить их вот так, настолько открыто, тоже ни к чему. Ведь можно же просто дать лёгкий намёк читателям, а они уж и сами дойдут до раскрытия. Так и тема не до конца спалится и часть «школьников» такая стратегия отсеет.

    23. Вы бы еще базу на пару тысяч сайтов выложили и объяснили б как ей пользоваться, да и можно заодно парсер сюда кинуть, ну и доконца написать все об xss, чтоб уж любой понял. Лучше уж палить только то, что все палят, тогда реальные темы проживут долго, яндекс итак борется с этим, а если сейчас все подряд возьмутся за xss, то через полгода тему прикроют и xss ссылки практически не будут ничего давать. Спасибо хоть не стали все разжевывать.

    24. Блин зачем палишь тему, как этим пользоваться???

    25. Virtual, вы правы, правы на все 101%, правы во всём, кроме одного, ТС разжевал таки тему, рзжевал по полной.
      SanchezBoy, это возмущение или вопрос об использовании?

    26. Артём, да нет, он к счастью не разжевал, да и как собирать такие базы тоже информацию он не написал.
      Ну а SanchezBoy явно возмущается, поскольку «он в теме», просто он не совсем правильно знаки поставил, надо было тире вместо запятой.

    27. Спасибо Virtual за поправку 🙂

    28. SanchezBoy, — Virtual — это обращение, т.е. мой ник должен быть окружен запятыми )))
      Ну а по теме, сам с xss недавно знаком, но что за вещь xss — понимаю, а щас прошелся по форумам — это пиздец, люди за копейки продают софт и базы, когда на нормальных seфорумах за такие цены делают только прогоны, и вот эти «продавцы» потом ноют, что яндекс прикрывает xss

    29. Ну прикроет это Яндекс, появится чтото новое(()))

    30. у всех кто накручивал тиц с помощью xss уже упали показатели в несколько раз после последнего апа. Тему спалили потому как она уже болльше не актуальна

    31. lolkin, упли или подрасли — это зависит от кривизны рук, а не от программистов яндекса )

    32. Блин жалко будет, что прикроют.

    33. Virtual > «да нет, он к счастью не разжевал, да и как собирать такие базы тоже информацию он не написал.»
      Хм… В этом вы правы, и надеюсь, что хотя бы эта информация не будет раскрыта, хотя… Если не этот ресурс, то кто-нибудь другой это сделает, так уж устроены люди (ИМХО).

      А по поводу других ресурсов и шумихи на них… «Школьники» делают своё дело, тема палится всё дальше, цены всё ниже, ну и эффект со временем пропадёт… Эх… (Прошу прощения, загрустил.)
      SanchezBoy — меня поправили, вопросов больше не имею. Вам — смайл. 🙂

    34. Школьники не виноваты 🙂 виноваты просто быдло-сеонисты 🙂

    35. shkolneg, виноваты как раз неадекватные школьник, да есть исключения, но в большинстве своем виноваты во всем как раз школьники, которые готовы работать за копейки и которые них не понимают, я не говорю обо всех, есть вполне адекватные личности, кстати вы какого пола? — заголовок вашего блога, из которого понятно, что вы мужского пола, наталкивает на не очень хорошие мысли.

    36. shkolneg, чтобы его было интересно читать, надо про «это» писать, желательно подкрепляя фактами и фото с видео, тогда и аудитория будет другая, но зато под заголовок будет подходить, а так, прочитав заголовок, даже в сам блог не хочется заглядывать.

    37. shkolneg, именно школьники, и именно неадекватные, как уже сказал Virtual. БыдлоСЕОшники — это немного другая история.

      P. S. Прочитал три последних сообщения… Немного потерял смысл… Я что-то пропустил? 🙂 (Сори за оффтоп.)

    38. […] паника? С чего вы взяли что я полностью спалил тему с XSS. Это всего лишь дополнение к уже написанным постам. […]

    39. Артём, смысл немного потерян из-за того что я удалил последние сообщения shkolneg’а.
      2 all ответы на комменты
      http://delpher.od.ua/archives/52

    40. XSS больше не работает в Яндексе!
      Сегодня был ап ТИЦ и все сайты с XSS попадали …
      Эта фишка больше не пройдёт …

    41. После сегодняшнего апа пришел полный конец этой теме. 1500-50, 800- 30. …

    42. ну вот про что я и говорил. усе. концы

    43. […] Зачем же я использовал сам XSS для своих сайтов и писал об этом в блоге? Ради вот этого момента, я внес свой […]

    44. Уроды…Из-за вот таких ублюдков, как ты, люди потеряли заработок. Язык бы вам в ж..у всем засунуть..Чтобы не высовывались..

    45. XSS
      ты сам базы продавал за 50$ так что не гони.

    46. xss(77.234.14.197), )))) продолжай нервничать, а в это время нормальные манимейкеры будут зарабатывать деньги.

      shkolneg, я специально вытащил твой коммент из спама. Теперь объясни когда и где я продавал базы, тем более за 50$.
      Может мне выложить переписку с аси?

    47. Delpher
      Не делай поспешных выводов 🙂 Я обратил свой коммент оратору с ником XSS …. а не тебе.

    48. shkolneg, ты его знаешь??

    49. Delpher, ну а где еще Школьник мог достать базу xss? ))

    50. […] Anti-XSS attack — Защита/предупреждение XSS-атак. […]

    51. Жаль конечно, что тема умерла. Я думал она поживёт ещё хотя бы годок.. в том виде, в котором она жила.

    52. мна уже не актуальная тема. в паблике темы за месяц фиксят

    Отправить комментарий

    Подпишись на RSS

    Е-mail рассылка:

    Постоянно покупаю сайты!