Pokaż wyniki 1 do 3 z 3

Temat: Skrypt php kradnący cookies.

  1. #1
    Zarejestrowany
    Aug 2011
    Postów
    5

    Domyślnie Skrypt php kradnący cookies.

    Witam!
    Nie wiedziałem w którym dziale miałem założyć ten temat, ale określając mój cel jaki chce osiągnąć chyba bardziej pasuje tutaj. Na sam początek:
    Czy istnieje możliwość pobrania cookie "ofiary" wysłanego z zupełnie innego serwera niż ja będę chciał ukraść? Np. Ofiara loguje się do serwisu, dostaje cookie, a ja chce to cookie ukraść poprzez zachęcenie do wejścia na moją stronę ( odpalenia skryptu ).
    Czy ktoś obeznany w php/js z tego forum byłby wstanie napisać skrypt który ściągałby od "ofiary" cookie o nazwie "aplauth" i zapisałby go na serwerze?
    Nie jestem tr0ller albo h4k$!0r3m który chce komuś ukraść konto w metinie także z góry dziękuje i proszę o poważne rozpatrzenie prośby
    Pozdrawiam.

  2. #2
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Cytat Napisał A7G4HB6 Zobacz post
    Czy istnieje możliwość pobrania cookie "ofiary" wysłanego z zupełnie innego serwera niż ja będę chciał ukraść?
    Tak. Rodzaje ataków to: xss, mitm, packet injection, sniffing. Istnieje też szansa na 0day przeglądarki ofiary.
    Zanim poprosisz o rozszerzenie, sprawdź dokładnie, czym jest cookie, jak działa i zapoznaj się z zagadnieniami tcp powiązanymi z transportem cookie.



    Cytat Napisał A7G4HB6 Zobacz post
    Czy ktoś obeznany w php/js z tego forum byłby wstanie napisać skrypt który ściągałby od ofiary cookie o nazwie "aplauth" i zapisałby go na serwerze?
    Nieprawidłowym podejściem jest dobór narzędzia przed dokonaniem analizy sytuacji. PHP to najsłabiej trafiony wybór zważywszy na to, że wspomniany tag cookie to informacja o pomyślnym uwierzytelnieniu klienta w środowisku ASP.Net.




    Cytat Napisał A7G4HB6 Zobacz post
    Nie jestem tr0ller albo h4k$!0r3m
    Nie tobie o tym decydować.

  3. #3
    Zarejestrowany
    Aug 2011
    Postów
    5

    Domyślnie

    Właśnie od ataków XSS tu przybyłem (po części). Poprostu zauważyłem że na stronie jest ciasteczko które nie jest jakoś specjalne zabezpieczone. Uzyskuje je sie i ma sie dane do logowania.
    Mitm, packet injection, sniffing w tym przypadku nie mają racjii bytu (jeśli dobrze rozumiem to albo mam sie podłączyć do sieci ofiary, albo wgrać jej coś na komputer. Co do pierwszego - ofiara jestdaleekoo, drugie - niestety jak zapewne podejrzewasz nie mam takiej wiedzy ( lecz ciągle sie ucze ).
    Z tego co zrozumiałem z , kompletny atak XSS to bardzo złożony proces, a mi zależy tylko i wyłącznie nad wyciągnięciem od ofiary 1 cookie. Przepraszam że z góry określiłem rozszerzenie, poprostu na słowo skrypt te dwa przychodzą mi do głowy.
    Dziękuje za rady i licze na więcej.
    Pozdrawiam.

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52