Cookie phishing

[V+Energ]

Hi, ich habe die korrekte Form noch nicht entdeckt wo es hinpasst aber bei Phishing war ich mir nich ganz sicher, deswegen poste ich es hier.

Kann ich per .php Cookies stealen?
Ja, kann man.
Wenn ich jetzt die besagte .php auf meinen Host schiebe und den Link dann weitergebe kann es ja nicht einfach so ausgeführt werden, stimmts?
Ist da Javascript noch für wichtig?

Ich hätte es glaube ich bei XSS posten sollen, denn ich habe von da ja die Idee mit dem Cookie Stealing. Also die Methode funktioniert ja auch nur dann wenn eine Seite eine XSS Lücke hat.

Ich will es mal anders formulieren:
Wenn ich die .php auf www.meineseite.de/steal.php anlege und der Code der angefordert wird, kann dieser dann einen Cookie stealen? Ich meine hier gelesen zu haben das, dies nicht funktioniert. Bin mir aber nicht sicher.
Bzw. nein ich will keine Stealer, oder RAT´s.

[SFX]

Die Cookies werden vom Client gesendet

Allerdings werden an die seite abc.de nicht die cookies von xyz.de gesendet, ist ja klar.. :p

dh du müsstest deine .php auf die Seite bekommen die die Cookies angelegt hat..

allerdings ist sowas nur dann möglich wenn zB ein schlecht gecodeter Imagehoster auf der Seite läuft..

Da ist eine XSS Verwundbarkeit schon deutlich häufiger auffindbar..

[Ken]

Nein, es hat nix mit Phishing zu tun. Ja, es hat was mit XSS zu tun. Nein, ein solches Skript klaut keine Cookies: Es wertet lediglich GET-Parameter aus. Das eigentliche "Klauen" geschieht dann mit clientseitig ausgeführtem Javascript, der versteckt (z.B. über iFrames) zum besagten Abspeicherungsskript linkt und dabei die jeweiligen Cookies übergibt. Merke: PHP ist serverseitig und kann nicht auf Daten - wie etwa Cookies - vom Klienten - dem Browser - zugreifen.

Und nein, ich habe Deinen Beitrag nicht im geringsten verstanden, ich schreib jetzt nur nach Intuition das, was Du eventuell lesen möchtest.

[err000r]

Nein, es hat nix mit Phishing zu tun. Ja, es hat was mit XSS zu tun. Nein, ein solches Skript klaut keine Cookies: Es wertet lediglich GET-Parameter aus. Das eigentliche "Klauen" geschieht dann mit clientseitig ausgeführtem Javascript, der versteckt (z.B. über iFrames) zum besagten Abspeicherungsskript linkt und dabei die jeweiligen Cookies übergibt. Merke: PHP ist serverseitig und kann nicht auf Daten - wie etwa Cookies - vom Klienten - dem Browser - zugreifen.

Und nein, ich habe Deinen Beitrag nicht im geringsten verstanden, ich schreib jetzt nur nach Intuition das, was Du eventuell lesen möchtest.

doch ich denke, das passt so in etwa :twisted
jetzt ist er sich vielleicht auch über den untershcied zwischen servserseitig, cleintseitig klar