Спс за ответы
Кое-что нашел, но это, похоже со слов других админов, не будет работать.
http://forum.mynuke.ru/printthread.php?t=2666
Php-Nuke POST XSS
Переменные cookie вообще не подлежат никакой проверке в Нюке и (мною было только что проверено!!!) хакер может сформировать определенным образом эти самые куки и выполнить произвольный SQL-запрос в БД жертвы.
Только мне не понятно в БД жертвы??? (пользователя? админа, кот сидит на сервере? сервера?).. не важно..
Суть в том что это хотя и не заработает, но при других бы условиях могло...
Хм.. Точно! Если пользователю подсунуть "свои" куки волшебным образом сформированые, сдержащие php/sql inj/xss <-- что именно, вам лучше знать - какой там тег закрыть.. и дальше нужный код..
Но потом что с ним делать? Ну получит пользователь "дополнительный" ответ с базы / дополнительный код (xss) и что? Потом это все на XSS снифер? (если мы подсунули админу, а мы всего лишь пользователи) Но тогда мне интересно что же нужно для того чтобы установить пользователю "спец" куки? ХSS на сайте?
XSS чтобы сделать SQL inj и передать еще через один XSS на снифер?
Т.е. я в этом не шарю и хотел сказать "нам нужен админ чтобы получить права админа?".
Все остальное сто нашел - так это просто скрытие следов пребывания на сайтах. И еще "adware устанавливает куки чтобы следить" - как зачем и где не понятно, но в описании каждого (почти) антивируса и файера есть подобная строчка.
Я не компетентен в этом вопросе, надеюсь, кто-то обьснит.
О, может завтра преподов загрузить? Ха, они зависнут.
Хорошо опечатался когда писал =)