user84 Posted February 22, 2009 Report Posted February 22, 2009 Sa zicem ca pui un comentariu pe un blog. Inainte sa trimiti comentariul trebuie sa completezi nume, email, website.Ce intampla daca la website scrii un link catre un cookie stealer? Daca un utilizator inregistrat da click pe linkul tau cookie stealerul primeste cookieul utilizatorului?Daca un utilizator neinregistrat da click pe linkul tau ce primeste cookie stealerul? Quote
crs12decoder Posted February 22, 2009 Report Posted February 22, 2009 nu... nu iti ia cookie-u de pe blogul respectiv.. iti ia cookie-ul de pe site-ul pe care l-ai pus tu la link.codul javascript afiseaza cookie-ul site-ului pe care se afla. Quote
user84 Posted February 22, 2009 Author Report Posted February 22, 2009 Sa vad daca am inteles. Se intampla cum ai zis tu pentru ca cookie grabberul il dai ca valoare unei variabile care n-a fost sanitizata cum trebuie.Iar daca as vrea sa iau un cookie de pe blogul respectiv ar trebui sa gasesc intai un xss in blog, nu? Quote
Hertz Posted February 22, 2009 Report Posted February 22, 2009 Partea 1:Aiurea ce vorbesti de sanitizare.Partea 2:Da,iti trebuie XSS. Quote
Guest vini4p Posted February 22, 2009 Report Posted February 22, 2009 Daca un utilizator inregistrat da click pe linkul tau cookie stealerul primeste cookieul utilizatorului?Pentru a fura cookie ai nevoie de un alert in acel site/forum...Daca un utilizator neinregistrat da click pe linkul tau ce primeste cookie stealerul?Primeste doar IP depinde de cookie stealer ! Quote
fjtr Posted February 22, 2009 Report Posted February 22, 2009 Iti trebuie xss pt domeniul respectiv dar la fel de bine poti folosi unul de yahoo pt acei utilizatori de acolo care folosesc yahoo si dupa cred ca nu iti mai trebuie altceva. Quote
crs12decoder Posted February 22, 2009 Report Posted February 22, 2009 da.. eventual daca vrei sa furi cookie-uri de pe alte site-uri poti sa iti pui link-u acolo... dar asta este echivalentu cu a da un mass pe messenger cu link-u respectiv.pe scurt: nu poti sa iei cookie-urile blogului decat daca gasesti xss pe blog... capisci? http://rstcenter.com/forum/showthread.php?t=13602xss-u in sine nu e decat o tehnica prin care reusesti sa introduci un cod javascript in codul html al site-ului.Acel javascript trimite informatiile despre cookie catre un grabber.. sau stealer..in cazu in care codul javascript nu se afla pe www.blog.com, si se afla pe www.link.com, nu va fi trimis catre grabber decat cookie-u de pe www.link.com. Quote
user84 Posted February 23, 2009 Author Report Posted February 23, 2009 Ok, am inteles.Multumesc tuturor care mi-au raspuns. Quote