Я используя XSS в Личных сообшениях, имел куки многих пользователей на форуме. Но теперь, админ сделал какуюто фигню с куками, и теперь в них нету pass_hash и member_id. И ещё приходится переодически переавторизироваться...
Используя старые куки, которые у меня были, я могу создавать колонки pass_hash и member_id, но новые отловить не могу, так как в них приходит только негодная session_id...
Что админ изменил в форуме? и что можно сделать, чтобы дальше развлекаться на форуме?

юзай активную xss от Гемы
http://milw0rm.com/exploits/4841

а как его использовать?

качай архив, через xss.php генерируй активку с адресом своего сниффера, наслаждайся....

А нужно сниффер на Локалхосте делать? Обычный не подойдёт?

любой. можно из архива, но я бы посоветовал netsec

Вставлять нужно в эту строку?
<input name="site" size='50' value="http://<? echo $_SERVER['HTTP_HOST'].dirname($_SERVER['REQUEST_URI']); ?>/ya.js" type="text" />

нет, запусти файл через браузер на локалхосте- там будет поле для ввода

Можешь примерно по шагам расписать? А то у меня ошибку выдаёт...

Смог получить код, попробовал запостить, но форум говорит что динамические страницы в тегах [img] запрещены...
А это можно какнибудь обойти? Например если вставить код в *.png, или отправить через ЛС?

кто подскажет, как обойти запрет на определенное количество попыток авторизации на форуме? ipb /1/7

юзай прокси или анонимайзеры

млина ти на локалке и не запустишь пхп, юзай денвера или на бесплатном сервере с поддеркой пхп зарегся!!!

я через денвер смог запустить, и получил Xss код, но на том форуме код не вставляется, говорит про запрет динамических изображений.