lära sig XSS!!!

någon här som har kunskap om sådant sätt???

är det svårt??

har bara scannat sidor med burp och OWASP ZAP och tagit mig in på några sidor och sedan mejlat till ägarna,,,

men min tanke bakom frågan är ju liksom att ta mig in på scam sidor som varnar om att filer raderas på din dator om du inte laddar ner dittan och dattan så nu när jag gick in på nyafilmer.com via Internet Explorer så poppade sådana fake sidor upp så slängde in en i scannern och hitta XSS så tänkte om det är svårt att lära sig sådant och om någon vet en bra nybörjar guide,...


tack på förhand ( vet låter säkert som dumma jävla frågor men skadar väll inte att fråga )

https://steve.fi/Security/XSS/Tutorial/

https://excess-xss.com/

https://hackertarget.com/xss-tutorial/

https://www.softwaretestinghelp.com/...s-attack-test/

https://www.hackeroyale.com/xss-cros...ripting-guide/

skaru bli haxor får du lära dig att söka

skit samma hitta en sida som förklarade lite nu om XSS och som jag förstår det så är det inget jag ville utan jag ville komma åt själva sidan så man kan ändra sidan så man kan skriva överst på sidan att det bara är scam men som jag fattat det så är det inte XSS eller jag har fel???

kan söka hittade en sida som förklarade lite men en av dom du länkade förklarade det lite bättre tror jag ,,

Attacker -> exploits web application -> web application delivers a malicious script to a normal users browser -> attacker now has the ability to control the users browser. This is bad for the user and bad for you if you manage the web application

jag vill inte att andra ska skadas

Det är "dåligt för användaren" för att de som använder XSS brukar göra det för egen vinning och de tar liksom inte in Robin Hood-figurer i beaktning.

Den typen av xss som skulle krävas i ditt fall skulle vara "persistent xss", men har man inte riktigt någon koll på vad xss är så tror jag inte heller att man skulle lyckas med något större.

Stämmer. persistent XSS(stored) är det som gäller. Dock eftersom han sitter med burp suite och sådant tvekar jag på att han hittar några stored, utan endast gör basic sökningar och hittar reflected.

Vill du komma åt sidan, är det RCE/SQLI du vill hitta.

bara kört sqlmap än så länge och kommit åt en del sidor men inte alla man går in på och läst lite smått om SQLI men det har inte varit mycket,

RCE får jag nog googla för det har jag nog inte stött på tror jag :P

men hittat en del hashade lösen ord och salts till dom men ingen aning om hur jag ska knäcka den nöten men har i alla fall sparat skiten och även länken till sidan så lyckas jag hitta en bra guide till att knäcka sådant så blir det ju o mejla ägaren till sidan och berätta för honom att han inte ska lägga salten i samma column som hashade lösenorden

RCE a nu vet jag vad det är man för in c99.php shell till en sida och får typ full kontroll över den jo det har jag börjat med att exprimentera med lyckades ladda upp en sådan till en sida men kom fan inte in på skiten så gjorde antagligen något fel eller la den fel eller något sådant men suttit o läst och kollat youtube guider men bara hållit på med shellning några timmar typ så inte kommit långt alls

Gå/Läs kursen/certifieringen Certified Ethical Hacking så lär du dig det du behöver.

Okej, det finns inkompetent och KORKAT folk. Du tillhör den korkade delen, tyvärr.
Knäcka den nöten med hash/salts? För det första verkar du inte vilja "hjälpa", du verkar vilja bryta dig in eftersom du har fått tag på hashar så få inte tråden att låta som om du är laglig och vill hjälpa andra.
Oavsett vad bryr jag mig inte, kör hashcat om du ska knäcka hashes.

Inte lägga salten i samma kolumn som hashade lösen? Är du helt jävla dum i huvudet?

Eller LFI/RFI samt download-scripts som gar att manipulera till att ta ner te.x "/etc/passwd" eller liknande.

klart jag vill göra det så lagligt som möjligt det är många sidor jag kört vanlig SQLMAP och kommit in som admit och dom har jag mejlat och skrivit i mejlet alla hål jag hittat men alldrig fått några svar tillbacka men ändå fortsatt med att mejla dom som äger kontona har även skickat med inloggnings o sådant så dom verkligen fattat men alldrig fått något svar tillbacka visst nu har jag inte suttit och kört SQLMAP på en 2 - 3 månader men vill ju bli bättre och kunna få mer gensvar och jag har alldrig ändrat på sidorna eller sådant fastän jag loggat in som admin men liksom gör det inte för o vara elak är själv medlem på diverse sidor och vill inte att min info kommer ut så gör det för att sidoorna borde bli säkrare men som sagt dom bryr sig inte