Pokaż wyniki 1 do 3 z 3

Temat: Skrypt php kradnący cookies.

  1. #1

    Domyślnie Skrypt php kradnący cookies.

    Witam!
    Nie wiedziałem w którym dziale miałem założyć ten temat, ale określając mój cel jaki chce osiągnąć chyba bardziej pasuje tutaj. Na sam początek:
    Czy istnieje możliwość pobrania cookie "ofiary" wysłanego z zupełnie innego serwera niż ja będę chciał ukraść? Np. Ofiara loguje się do serwisu, dostaje cookie, a ja chce to cookie ukraść poprzez zachęcenie do wejścia na moją stronę ( odpalenia skryptu ).
    Czy ktoś obeznany w php/js z tego forum byłby wstanie napisać skrypt który ściągałby od "ofiary" cookie o nazwie "aplauth" i zapisałby go na serwerze?
    Nie jestem tr0ller albo h4k$!0r3m który chce komuś ukraść konto w metinie także z góry dziękuje i proszę o poważne rozpatrzenie prośby
    Pozdrawiam.

  2. Domyślnie

    Cytat Napisał A7G4HB6 Zobacz post
    Czy istnieje możliwość pobrania cookie "ofiary" wysłanego z zupełnie innego serwera niż ja będę chciał ukraść?
    Tak. Rodzaje ataków to: xss, mitm, packet injection, sniffing. Istnieje też szansa na 0day przeglądarki ofiary.
    Zanim poprosisz o rozszerzenie, sprawdź dokładnie, czym jest cookie, jak działa i zapoznaj się z zagadnieniami tcp powiązanymi z transportem cookie.



    Cytat Napisał A7G4HB6 Zobacz post
    Czy ktoś obeznany w php/js z tego forum byłby wstanie napisać skrypt który ściągałby od ofiary cookie o nazwie "aplauth" i zapisałby go na serwerze?
    Nieprawidłowym podejściem jest dobór narzędzia przed dokonaniem analizy sytuacji. PHP to najsłabiej trafiony wybór zważywszy na to, że wspomniany tag cookie to informacja o pomyślnym uwierzytelnieniu klienta w środowisku ASP.Net.




    Cytat Napisał A7G4HB6 Zobacz post
    Nie jestem tr0ller albo h4k$!0r3m
    Nie tobie o tym decydować.

  3. #3

    Domyślnie

    Właśnie od ataków XSS tu przybyłem (po części). Poprostu zauważyłem że na stronie jest ciasteczko które nie jest jakoś specjalne zabezpieczone. Uzyskuje je sie i ma sie dane do logowania.
    Mitm, packet injection, sniffing w tym przypadku nie mają racjii bytu (jeśli dobrze rozumiem to albo mam sie podłączyć do sieci ofiary, albo wgrać jej coś na komputer. Co do pierwszego - ofiara jestdaleekoo, drugie - niestety jak zapewne podejrzewasz nie mam takiej wiedzy ( lecz ciągle sie ucze ).
    Z tego co zrozumiałem z , kompletny atak XSS to bardzo złożony proces, a mi zależy tylko i wyłącznie nad wyciągnięciem od ofiary 1 cookie. Przepraszam że z góry określiłem rozszerzenie, poprostu na słowo skrypt te dwa przychodzą mi do głowy.
    Dziękuje za rady i licze na więcej.
    Pozdrawiam.

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj