Skip to content
Главная | Автоюрист | Скрипт для кражи куки

14.03.2018

скрипт на взлом VK c помощью угона файлов Cookie


Поставим себя на место злоумышленника. Нужно чтобы пользователь кликнул по ссылке. Как его заставить это сделать? Можно пообещать золотые горы и чтобы их получить нужно, проследовать по нашей ссылке на сайт.

Скрипт для кражи куки Наши два

Но не думаю, что это сработает. Народ уже на такое не ведется сам постоянно удаляю такие письма, даже не читая. Поэтому будем играть на человеческой жалости, благо она еще существует в природе. Попросим проголосовать на сайте за спасение истребляемых животных. Вначале заберем cookies, а потом переправим пользователя на сайт для голосования. Таймаут для переадресации выставил в 5 секунд, в противном случае cookies просто не успевали передаться снифферу, а пользователя сразу перебрасывало на сайт про животных.

Скрипт для кражи куки была

Когда со скриптами было покончено, я занялся написанием письма. Придумал примерно следующее содержание: Получилось довольно цинично, но старался приблизить условия к максимально реальным. В конце письма дописана строчка со скриптом, это чтобы наше письмо нашлось, когда мы сделаем поиск. Чтобы строка не вызывала лишних вопросов закрасил ее белым цветом. Иначе, несмотря на то, что скриптовая строка написана шрифтом белого цвета ссылка бы выделилась синим цветом у адресата, а этого нам не надо. Умный поиск все равно найдет и распознает эту строку, не смотря на пробелы.

Неисправленные уязвимости

Ссылку для поиска использовал следующую: Письмо готово, отправляем его. В качестве адресата я использовал свой второй почтовый ящик на этом же сервисе.

Удивительно, но факт! Таймаут для переадресации выставил в 5 секунд, в противном случае cookies просто не успевали передаться снифферу, а пользователя сразу перебрасывало на сайт про животных.

Смотрим, что пришло на другой ящик. Наш текст скрипта не видно, так как он сливается с фоном. Нажмем на ссылку и посмотрим, что произойдет. Пользователь перемещается в результаты поиска писем по заданному нами параметру. Наше письмо, которое мы отсылали видно в результатах поиска. В это время наш скрипт уже сработал и отослал cookies пользователя снифферу.

Через 5 секунд время зависит от настроек скрипта пользователь переправляется на сайт с голосованиями.

Основы XSS

Проверяю свой файл sniff. Так как целью моей не является кража чужих ящиков или получения доступа к ним, на этом повествование закончу. Но теоретически можно подменить свои cookies на чужие и получить доступ к чужому почтовому ящику. В общем если злоумышленник загорится целью, то он найдет применение полученной информации.

Скрипт для кражи куки мог сказать

Хотелось бы поблагодарить Сергея Белова BeLove , за его познавательное мероприятие Open InfoSec Days , которое вдохновило меня на поиски уязвимостей на сайтах. Так же хотелось бы выразить благодарность команде mail.

Читайте также:

  • Типовой договор на оказание услуг по погрузке разгрузке
  • Антиколлекторская компания ооо союз
  • Совковбанк наконить на жилье