Народ, такой вопрос:
Сниффером мы можем получать куки. Но только куки того процесса, где был выполнен Джаваскрипт. Следовательно, для использования сниффера, в любом случае требуется искать уязвимость, пропускающую Джаваскрипт?
Тогда не очень ясен один вопрос - в статье про снифферы на Античате, неточно помню, был описан такой прием получения админских куков на форуме, как просьба посмотреть неоткрывающийся аватар (в котором сидит Js). Админу дается ссылка, и просится на нее зайти.
Но вель тогда сниффер получит куки, которые относятся к новому открытому документу - странице с картинкой, и толку от этого никакого.
То есть, главный вопрос:
Можно ли как-нибудь использовать сниффер, если нет уязвимостей, пропускающих Js?