Info E' possibile creare una specie di JSESSIONID grabber?

[Macciox]

Salve, vorrei un chiarimento.
Ammesso che voi sappiate la tecnica del cookie grabbing, e sappiate di quel trucchetto che consiste nel farsi inviare il JSESSIONID da un habbino per poi sostituirlo al vostro tramite Opera o altro...volevo sapere se era possibile creare una specie di JSESSIONID Grabber che funga più o meno come un Cookie Grabber. Mi spiego meglio. Sarebbe bello indirizzare un habbino sul vostro sito per grabbargli il JSESSIONID, in modo da non doversi inventare scuse per farselo inviare tramite copia-incolla.
Notando che scrivendo su habbo "javascript:alert(document.cookie)" Viene fuori anche la JSESSIONID avevo pensato ad una specie di sito, che prima di indirizza su habbo.it/me (magari tramite reindirizzamenti in php. Es: header("Location: http://www.habbo.it/me"); e da li fa fare in automatico "javascript:alert(document.cookie) inviando i "risultati" ad un logfile.txt o a qualcosa del genere che precedentemente è stato hostato sul nostro sito...

Spero di essermi spiegato bene...mi scuso anticipatamente nel caso avessi sbagliato sezione o categoria...

 

[The_king]

waa che idea stupenda, ma il problema e farci passare i jsessionid :soso:

 

[Macciox]

waa che idea stupenda, ma il problema e farci passare i jsessionid :soso:

Io avevo pensato di far visitare il nostro sito alla vittima, così facendo ci arriva in automatico il JSESSIONID

 

[ilfigo]

Buona idea.
Sai perchè?
Molti ricchi visitano i fake che si spammano e ci mettono cose a caso: Come : Nome: ahahaabelfakenabbo Pass: volevitruffarmivero?hahaha

Invece così quando un ricco penserebbe di andare a sfotterlo si ruberebbe il jsessionid e vuoilà!
SCAM!

Grandissima idea, chissà se esiste un modo

 

[Macciox]

Nessuno può aiutarmi?

 

[scriptbeta]

Macciox in che linguaggio intendi crealo? xDDD

 

[Macciox]

Non ne ho la più pallida idea XD

 

[Hosted]

Bella idea, ma difficile procrearla.. non penso che si possa fare ciò che dici tu. Ma in ogni caso, non bisogna inserire nome e psw per far mandare i cookie?
--------------- AGGIUNTA AL POST ---------------
Ho trovato in giro questa e penso proprio che questo lavoro si può fare..

altri metodi per farsi dare i cookie è fare pagine personalizzate di habbo su un proprio sito, che lavorano identicamente come i fake login, solo che al posto di nome e password andiamo a chiedere solo i cookie. La vittima, ignara di cosa sia, ha più fiducia, perchè pensa che rilasciando quei dati non può essere scammata.

 

[Macciox]

Bella idea, ma difficile procrearla.. non penso che si possa fare ciò che dici tu. Ma in ogni caso, non bisogna inserire nome e psw per far mandare i cookie?
--------------- AGGIUNTA AL POST ---------------
Ho trovato in giro questa e penso proprio che questo lavoro si può fare..

Si fa un reindirizzamento ad habbo.it/me ammesso che l'utente da scammare sia ovviamente già connesso ad habbo e quindi che abbia mandato già i dati del login al server e sia stato già autenticato!

 

[~Trivellone93]

Wow, che togo, Quindi qualche nabbo che mettesse per esempio : Nome: ahahah Password: ahahsha , Noi potremmo trovare il JSESSIONID? :O

 

[Macciox]

Wow, che togo, Quindi qualche nabbo che mettesse per esempio : Nome: ahahah Password: ahahsha , Noi potremmo trovare il JSESSIONID? :O

se riusciamo a farlo fungere come un cookie grabber ci basta fargli visitare il nostro sito per ottenere il JSESSION

 

[Frizz]

Grande idea

 

[robyou]

tentemi aggiornato xD

 

[222Mitico]

credo che sia inutile visto che il jessionID funge soltanto quando sei loggato soltanto nella home nelle opzioni e non sei nel client e quando chiudi/cambi pagina ti dice che sei stato sloggato

 

[Macciox]

credo che sia inutile visto che il jessionID funge soltanto quando sei loggato soltanto nella home nelle opzioni e non sei nel client e quando chiudi/cambi pagina ti dice che sei stato sloggato

Dal momento che accedi in habbo hai un JSESSIONID, indipendentemente dalla pagina in cui ti trovi. Lo SCAM ovviamente dovrebbe avvenire mentre l'habbo naviga tranquillamente in habbo.

 

[~Trivellone93]

se riusciamo a farlo fungere come un cookie grabber ci basta fargli visitare il nostro sito per ottenere il JSESSION

Che toga st'idea, I nabbi d sicuro ci cascano lòl

 

[serro96]

Riferimento: E' possibile creare una specie di JSESSIONID grabber?

Non sarebbe male come idea ma il problema sorge con la scelta del linguaggio da utilizzare :soso:

 

[..Dark-Moon..]

Riferimento: E' possibile creare una specie di JSESSIONID grabber?

L'idea è buona , ma è molto difficile da realizzare

 

[FackonJack97]

Riferimento: E' possibile creare una specie di JSESSIONID grabber?

Forse creando un Sito Fake di Habbo e facendogli mettere Nome e Password Habbo la vittima clicca poi su ENTRA e verrà portato nel client...
Però ci sono due problemi:
1)Che poi si vedrà quella scritta "Sei connesso con un'altro Habbo: sei uscito fuori...."
2)I ricchi non cascano a sti Fake perciò...

 

[Spider]

Riferimento: E' possibile creare una specie di JSESSIONID grabber?

Non è possibile fare quello che chiedete per il seplice fatto che habbo non lascia filtrare le informazioni dei cookie, l'unico modo sarebbe trovare un form vulnerabile al cross site scripting e cercare tramite quel form di includere un cookie grabber hostato sul proprio server,per il momento non è possibile visto che i form di habbo non sono vulnerabili ma in futuro non si può mai sapere.