Кража кук картинками на стороннем домене
Ох уж эти взломы с использованием картинок в ссылке. Уже вторично за эти две недели всплывает подобный вопрос. Перехват кук, кража аккаунта... Все чего-то кипешатся, очкуют, один я как идиот видимо чего-то не понимаю...
В общем хотел спросить, у кого либо есть исходники увода кук в браузере при переходе по ссылке на картинку? При условии что ссылка ведет на стронний ресурс.
Сколько уж кипишу поднимают (к примеру вот http://www.free-lance.ru/blogs/view.php?tr=422388&ord=new&openlevel=4264315) и вечно выходит, что чуть зашел и все, хрясь и нету у тебя аккаунта, только реально работащий пример мне ни кто привести так и не может. А хочется самому посмотреть исходники, что бы понять, как и почему это работает или убедиться, что все это гон и пользователь сам виноват, что не следит за системой.
В общем у кого-то есть реальные примеры или детальное описание (стечение каких обстоятельств должно совпасть), а не "да вот говорят", "у Васи украли"... Факты хочу, факты.
В общем хотел спросить, у кого либо есть исходники увода кук в браузере при переходе по ссылке на картинку? При условии что ссылка ведет на стронний ресурс.
Сколько уж кипишу поднимают (к примеру вот http://www.free-lance.ru/blogs/view.php?tr=422388&ord=new&openlevel=4264315) и вечно выходит, что чуть зашел и все, хрясь и нету у тебя аккаунта, только реально работащий пример мне ни кто привести так и не может. А хочется самому посмотреть исходники, что бы понять, как и почему это работает или убедиться, что все это гон и пользователь сам виноват, что не следит за системой.
В общем у кого-то есть реальные примеры или детальное описание (стечение каких обстоятельств должно совпасть), а не "да вот говорят", "у Васи украли"... Факты хочу, факты.
Гмъ. А что у них там за сцыль хоть? А то вопят что все куки прям сразу тырятся (почему это брозер, причем с комментов выходит что сразу все, должен отдавать ВСЕ свои куки?), а посмотреть нема на что. Может просто пугают людей чтоб пароли меняли? Мне лично интересно было бы посмотреть на скрипт чтоб знать где есть дыры. А то браузер вроде как не должен куки вообще отдавать на левые сайты. Или я чего не правильно понял?
Этот линк с сайта очень быстро убрали автора, как я понял, тоже тут же забанили. Я в очередной раз успел только к шапошному разбору. Скинули по асе пару JS скриптов, что бы я высказал свое мнение (там кстати куки увести было бы реально, если бы не НО, скрипт должен загружаться с начального домента, что обычно невозможно). Я в них порылся, но так и не разглядел, как в контексте фриланс.ру можно было увести куки.
Поэтому мне и хочется обзавестись реальными кодами такой системы, что бы можно было поставить на свой сервак и все руками прощупать как и почему это может работать. Но пока только я и вижу, что такие вот паникерские посты и у меня складывается впечатление, что народ тупо имеет в системе вирус, ходят в инет через осла с включеными активх... Ибо пока еще даже нормального описания не встречал про работающий пример и вовсе умолчу...
Поэтому мне и хочется обзавестись реальными кодами такой системы, что бы можно было поставить на свой сервак и все руками прощупать как и почему это может работать. Но пока только я и вижу, что такие вот паникерские посты и у меня складывается впечатление, что народ тупо имеет в системе вирус, ходят в инет через осла с включеными активх... Ибо пока еще даже нормального описания не встречал про работающий пример и вовсе умолчу...
Цитата: alekciy
- башорг, чес. слово....там по сути обычный XSS кто-то прокрутил ; "уязвимость с картинками" - просто одна из его разновидностей, которая возможна только из-за отсутствия фильтра на сервере
последняя аналогия, которая была на слуху - Twitter...так что гугли и будут тебе все скрипты :) ниче "особого" в них нету...