У Вас есть один вопрос? - Тогда задайте его тут! new!
Тема закрыта
217K
reaper
18 янв 2015 г., 17:33
~РайСкиЙ~, Сниффер только пишет в лог запросы. Он больше ничего не делает. С какой урлы ты пришел, какие параметры были в запросе -- всё это пишется в лог. Если ты имел неосторожность отправить запрос вида http://evil.com?password=password, то считай, что пароль в руках злоумышленника. Неважно, сам ли ты перешёл или кто-то внедрил какую-нибудь херню. Что непонятно?
~РайСкиЙ~
18 янв 2015 г., 17:37
reaper, не совсем так. В современный сниффер пишется много чего. Даже полная ссылка сразу. Нажав на нее ты попадаешь в учетную запись жертвы. Это проверено.
reaper
18 янв 2015 г., 17:39
~РайСкиЙ~, Не суть. Суть в том, что нужно скормить ему какие-то данные.
Кстати, так можно и заддосить его невалидными паролями/токенами, пусть потом разгребает всё это. Мугога.
Кстати, так можно и заддосить его невалидными паролями/токенами, пусть потом разгребает всё это. Мугога.
Antares
18 янв 2015 г., 17:43
Ego vir viden
# reaper (18.01.2015 / 17:39)Онлайн снифферы бесполезно дудосить
~РайСкиЙ~, Не суть. Суть в том, что нужно скормить ему какие-то данные.
Кстати, так можно и заддосить его невалидными паролями/токенами, пусть потом разгребает всё это. Мугога.
~РайСкиЙ~
18 янв 2015 г., 17:51
Дело в другом просто. Например на некоторых сайтах ты свою всю сессию таскаешь в адресной строке браузера после знака ?. И необязательно там прям явно должен быть твой пароль. достаточно эту ссылкушт любой страницы скопировать и дать перейти кому либо. Он попадает в твою учетную запись. Вот с такими сайтами сниф очень хорошо дружит
Поймал такую ссылку и вперед. На джоне иначе. Вот потому и спросил как на нем с этим. Тут строка в браузере пуста
Поймал такую ссылку и вперед. На джоне иначе. Вот потому и спросил как на нем с этим. Тут строка в браузере пуста
Antares
18 янв 2015 г., 17:59
Ego vir viden
~РайСкиЙ~, Помню на спейсе такое было
... ?sessid=blablabla
... ?sessid=blablabla
~РайСкиЙ~
18 янв 2015 г., 18:05
Antares, На джоне нет такого. Однако если поставить сниф на страницу с XSS на нем, то в строке запроса появляется запись сессии
Antares
18 янв 2015 г., 18:12
Ego vir viden
# ~РайСкиЙ~ (18.01.2015 / 18:05)Ну да,так что на чистом джоне такое не сделать.
Antares, На джоне нет такого. Однако если поставить сниф на страницу с XSS на нем, то в строке запроса появляется запись сессии
Koenig
18 янв 2015 г., 23:22
(\/)____o_O____(\/)
# ~РайСкиЙ~ (18.01.2015 / 17:14)да легко, http://habrahabr.ru/post/129173/ пароль и логин не обязательно, я проверял на сессии от вк, даже куки не нужны
reaper, Хорошо. Теперь еще один вариант. Есть страница на сайте. Там сто процентов есть XSS. Но код сниффера разумеется там не установлен. Переход с такой заведомо дырявой страницы на сайт с установл
~РайСкиЙ~
19 янв 2015 г., 0:48
Koenig, То есть ты хочешь сказать, что если перейти с джона на сайт где стоит сниффер, то угонят сессию?
Всего: 6714
© 2025, JohnCMS