• XSS.stack #1 – первый литературный журнал от юзеров форума

Как отработать cookie?

Отслеживать
Unseen

Unseen

(L3) cache
Пользователь
Регистрация
17.01.2022
Сообщения
262
Реакции
246
Доброго времени суток, Форумчане! Что можно сделать с данными куки? Стиллер прислал логи с файлом Default Cookies.txt .
Как я понял в файле находятся название сайта, какой то id и хэш.
В гугле почитал, что по идее можно получить доступ к сайте без ввода логин пасс. Только как это реализовать?
Строчки в самом файле:
с.png
 
Сортировать по дате Сортировать по голосам
Смотри, куки это данные сессии, которые позволяют допустим закрыть вкладку сайта, заного открыть и не вводить пароль опять.
Вставив их себе в антидетект браузер или специально расширение, ты можешь пропустить аутентификацию по login:pass (полезно когда в логе нету нужного логина и пароля, или они невалид) и уменьшить фрод.
У них короткое время жизни ,поэтому их нужно отрабатывать как можно быстрее после получения.
Отработать что-то по одним кукам сложно, обычно для серьезных действий требует пароль, а иногда и 2fa код с почты.
Сайты с сильной антифрод системой могут вообще выкинуть и заного заставить войти по логину и паролю(при смене айпи и слепка браузера, айпи и слепок браузера нужно настраивать как можно более похожий на лог)
 
За 0 Против
За 0 Против
Некоторые чекеры умеют чекать куки кстати. Свежий кук часто позволяет обойти 2fa, главное настроить слепок браузера, юзер агент один в один, и подобрать айпи максимально похожий на айпи жертвы(та же страна/штат/город). Тогда для антифрод системы это будет похоже на то, что жертва просто пошла со своим ноутбуком в кафешку/на работу и зашла оттуда с другого айпи.
 
За 0 Против
dunkel сказал(а):
Некоторые чекеры умеют чекать куки кстати. Свежий кук часто позволяет обойти 2fa, главное настроить слепок браузера, юзер агент один в один, и подобрать айпи максимально похожий на айпи жертвы(та же страна/штат/город). Тогда для антифрод системы это будет похоже на то, что жертва просто пошла со своим ноутбуком в кафешку/на работу и зашла оттуда с другого айпи.
Благодарю за объяснение. Ну в логах я имею все о его системе( Время, Час пояс, IP, имя системы, настройки браузера) Буду копать глубже значит, может получится что то :)
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Unseen сказал(а):
Доброго времени суток, Форумчане! Что можно сделать с данными куки? Стиллер прислал логи с файлом Default Cookies.txt .
Как я понял в файле находятся название сайта, какой то id и хэш.
В гугле почитал, что по идее можно получить доступ к сайте без ввода логин пасс. Только как это реализовать?
Строчки в самом файле:
Посмотреть вложение 70564


Import using a cookie import extension.... and see if you are logged in that means the cookie is still valid....
Use same browser as the owner of the cookie log, same IP class without leaks in your browser after you set up your browser.... import the cookie and check the log in page .... if the cookie is valid you must be logged in without any user/pass to be written ....

Stay safe
 
За 0 Против
Unseen сказал(а):
Доброго времени суток, Форумчане! Что можно сделать с данными куки? Стиллер прислал логи с файлом Default Cookies.txt .
Как я понял в файле находятся название сайта, какой то id и хэш.
В гугле почитал, что по идее можно получить доступ к сайте без ввода логин пасс. Только как это реализовать?
Строчки в самом файле:
Посмотреть вложение 70564
удалить и забыть!!!!!
 
За -1 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх