xss на рамблере: как обойти HttpOnly

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости Mail-сервис
xss на рамблере: как обойти HttpOnly

Опции темы

Поиск в этой теме

Опции просмотра

xss на рамблере: как обойти HttpOnly

14.02.2009, 01:03

kl0yn

Познающий

Регистрация: 15.12.2008

Сообщений: 30

С нами: 9159857

Репутация: 15

xss на рамблере: как обойти HttpOnly

Ни для кого не секрет, что на рамблере есть много xss-уязвимостей. Но не всегда получаеться их использовать, потому что куку по которой можно получить доступ к ящику, рамблер дает с атрибутом HttpOnly. Т. е. джава скрипт просто не видит эту куку. Один только файрфокс игнорирует этот атрибут и передает джава скрипту куки с HttpOnly.

Есть ли актуальный метод обхода HttpOnly?

𝕏 Twitter Reddit Telegram Копировать ссылку

15.02.2009, 20:14

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

С нами: 9329129

Репутация: 20

да чет не занимался. ты лучше скажи, сканером иль ручками нашел?

15.02.2009, 20:21

kl0yn

Познающий

Регистрация: 15.12.2008

Сообщений: 30

С нами: 9159857

Репутация: 15

mikhoni, что нашел? xss пасивку? Да их же куча в паблике. И рамблер их и не очень спешит закрывать.

15.02.2009, 20:53

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

С нами: 9329129

Репутация: 20

а ну спасибо) посмотрю) может чего придумаю.

15.02.2009, 22:58

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

С нами: 9329129

Репутация: 20

хм, а что мешает запихнуть ифрейм поверх с сообщением типа введите пароль.
сабмит на снифер, а потом редирект на станичку рамблера.
нада разобраться в коде и сделать джаваскрипт который поменяет страничку коорденатьно. долго, но если сделать хорошо, жертва даже не заметит.
есть пару идей. стукни мне в асю 8365777.

16.02.2009, 03:15

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

С нами: 9329129

Репутация: 20

Ну рас уж тут все в паблик. проблема решена) xss раскрутили,
немножко иначе, но все работает. скоро выложим результаты. все дочерта проста)
думаю многие сами до этого дошли!

16.02.2009, 03:24

bombeg

Участник форума

Регистрация: 27.10.2008

Сообщений: 244

С нами: 9231271

Репутация: 428

Цитата:

Один только файрфокс игнорирует этот атрибут и передает джава скрипту куки с HttpOnly.

и давно ли он начал так делать?

16.02.2009, 04:13

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

С нами: 9329129

Репутация: 20

их задолбало искать xss вот и сделали.

16.02.2009, 09:27

Tigger

Познавший АНТИЧАТ

Регистрация: 27.08.2007

Сообщений: 1,107

С нами: 9846041

Репутация: 1177

Парень неплохо набил постов в своей теме... Бррррррр......
Диалога не вышло... Монолог тут!!!

#10

19.02.2009, 04:51

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

С нами: 9329129

Репутация: 20

Цитата:

Сообщение от Tigger

Парень неплохо набил постов в своей теме... Бррррррр......
Диалога не вышло... Монолог тут!!!

не понял тебя..... на кого ты бочку катишь

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Xss для новичков	Micr0b	Уязвимости	79	06.07.2018 22:05
Юмор. Анекдоты, смешные рассказы/логи.	Mobile	Болталка	1356	16.06.2010 16:46
Социальная инженерия. Профессиональное программирование. Последовательный взлом	dinar_007	Болталка	15	23.12.2008 12:30

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход