Не повторяйтесь (принцип DRY — Don’t repeat yourself). Например, можно генерировать структуру базы данных и документацию на основе кода.
Как найти XSS-уязвимые сайты
01.04.2008
XSS — это способ получения прямой ссылки с сайта, подверженного этому типу уязвимости. А таких сайтов очень много. Как же найти такие сайты?
Сегодня я прочитал у Маула, что он продвигал один из своих сайтов с помощью XSS. Значит есть куча обратных ссылок на его сайт с XSS-уязвимых сайтов. Смотрим беклинки в Yahoo.
Таким макаром продвигает свой сайт не только Маул. Возьмём любой уязвимый сайт из полученного списка:
http://www.goldendolphin.ru/search.shtml?search=%22%3E%3Ca+href%3Dhttp%3...
Возможно, этим сайтом ещё кто-то продвигался. Ищем:
http://search.yahoo.com/search?p=goldendolphin.ru/search.shtml
Что-это такое нашлось? Ах да, это ссылки на хакнутую страницу: чтобы поисковик узнал о её существовании, необходимо сообщить ему о ней. Достаточно разместить несколько ссылок на эту страницу, для чего часто срут в форумах. Внимательно присмотревшись мы найдём в выдаче адреса доменов, которые продвигались с помощью XSS.
Если хотите продолжить поиски, берём один из доменов и начинаем процедуру снова.
Конечно, есть и другие способы поиска XSS-уязвимых сайтов, но я о них не знаю :)
Комментарии
К сожалению, xss уже хорошо фильтруется и яшей и гуглом... Может поэтому маул и спалил тему? Все равно пользы мало ;)
Главное, чтобы не банили. О пользе XSS слышал противоположные высказывания: одни говорят, что толку нет, другие - есть. Проверю на собственном опыте.
есть более красивый список xss для сателитов маула -)
jabacrack, это тебе платон сказал? :) потому что точный ответ можно узнать только у него.
Я был бы очень рад ознакомиться с этим списком. Около 100 сайтов уже руками насобирал.
постучись в аську.
в паблик ссылку лучше не кидать 8-)
С помощью языка запросов гугла легче собирать.
>есть более красивый список xss для сателитов маула
он только для избранных?
могу предложить в обмен свою сотню, другую незаспамленных(!) ресурсов.
>он только для избранных?
>могу предложить в обмен свою сотню, другую незаспамленных(!) ресурсов.
Я только за :)
Если палишь, эффект тухнет.
Мне удалось насобирать 2 тысячи ссылок, но надо проверять их на валидность. Могу обменять на что-то стоящее.
Вижу народ интересуется темой. Может быть замутить закрытый сайтик для обмена ссылками на XSS-уязвимые ресурсы
Говорят, баг с XSS в ближайшее время устранят и не стоит на это тратить время.
Слухов много разных ходят. Я слышал, что XSS уже не влияет на ссылочное ранжирование в яндексе и гугле, но ИЦ поднимает. Но домыслы и слухи меня не убеждают. Придётся опробовать на собственной шкуре.
Ссылки по теме:
http://www.4partners.ru/2007/07/23/xss-uyazvimosti/
http://shkolneg.blogspot.com/2008/04/xss-20.html
в сео 2 года но только час стал смотреть на х$$ внимательно, у меняесть скрипт и даже база, НО думаю что моя база г... по этому ищу идейных за х$$ пишите в асю может что интересное надыбаем))
ICQ#: 4ноль4-7два8-754
Предлагаю базу xss сайтов (около 3000) для наращивания тиц
Результат от 100 до 900 у разных сайтов было
стоимость 150$ aj63(собака).narod.ru
Сейчас собираю базу xss сайтов из яндекс каталога с большими тиц
Первое обновление базы планирую к концу мая 2008
В комплекте скрипт скармливатель ссылок:
Скрипт генерирует на основе XSS базы сайт, который можно разместить на бесплатном хостинге (например народе), и скормить яндексу.
Когда ссылки проиндексируюся - поднимится Тиц
Тема спалена и закрыта яндексом. Эффекта от ХСС больше нет
ну хз)
Вот ссылка:
http://fitoru.ru
спасибо за инфу
Комментировать