Za pomocą Dom w javascript wyciągam sobie ciasteczka, które zapisują się do pliku na moim serwerze. Jednak wiadomo, iż żaden internauta nie wprowadzi podejrzanego kodu do swojej przeglądarki. Zastanawiałem się jak automatycznie odpalić mój skrypt wraz z ładowaniem się strony, którą atakuje.
Początkowo chciałem umieścić na stronie odnośnik do mojego serwera do pliku, który nie istnieje. Występował błąd 404. W htaccess ustawiłem, że jak wystąpi ten błąd to żeby otworzyło mój kod (javascript:.....) jednak kod się nie odpalał, tylko wyskakiwał komunikat o zmianie położenia strony.
Później chciałem wykorzystać funkcje window.open. Stworzyłem stronę, która odpala drugą kartę z atakowaną stroną a po chwili w tej nowej karcie odpalał mój kod. W skrócie wygląda ona tak
Kod html:
<input type="button" value=1 onclick="window.open('http://podatnastrona.pl','Podglad','width=400;height=300')">
<input type="button" value=2 onclick="window.open('javascript:alert(kod zapisujący cookie na moim serwie)','Podglad','width=400;height=300')">
Co prawda tutaj kolejne strony otwierają się z odnośników, ale pisałem ten kod z pamięci i nie pamiętam jak on dokładnie wyglądał
Jak nacisnę button z numerkiem dwa to wyskoczy komunikat. Natomiast jak najpierw nacisnę 1 włączy się strona i nacisnę 2 to nie uruchomi to mojego kodu javascript.
1)Jak zrobić żeby ten kod javascript odpalił się po naciśnięciu najpierw 1 a potem 2?
2)Istnieje jakiś sposób, żeby w odnośnik wsadzić kod javascript jeśli strona, ktorą atakuje dodaje do odnośników http:// na początku?
3)Znacie jakiś skuteczny sposób na wyciągnięcie cookie (kod wyciągający mam, chodzi mi jedynie jak go umieścić na jakiejś stronie)?