Ни для кого не секрет, что на рамблере есть много xss-уязвимостей. Но не всегда получаеться их использовать, потому что куку по которой можно получить доступ к ящику, рамблер дает с атрибутом HttpOnly. Т. е. джава скрипт просто не видит эту куку. Один только файрфокс игнорирует этот атрибут и передает джава скрипту куки с HttpOnly.

Есть ли актуальный метод обхода HttpOnly?

да чет не занимался. ты лучше скажи, сканером иль ручками нашел?

mikhoni, что нашел? xss пасивку? Да их же куча в паблике. И рамблер их и не очень спешит закрывать.

а ну спасибо) посмотрю) может чего придумаю.

хм, а что мешает запихнуть ифрейм поверх с сообщением типа введите пароль.
сабмит на снифер, а потом редирект на станичку рамблера.
нада разобраться в коде и сделать джаваскрипт который поменяет страничку коорденатьно. долго, но если сделать хорошо, жертва даже не заметит.
есть пару идей. стукни мне в асю 8365777.

Ну рас уж тут все в паблик. проблема решена) xss раскрутили,
немножко иначе, но все работает. скоро выложим результаты. все дочерта проста)
думаю многие сами до этого дошли!

Один только файрфокс игнорирует этот атрибут и передает джава скрипту куки с HttpOnly.
и давно ли он начал так делать?

их задолбало искать xss вот и сделали.

Парень неплохо набил постов в своей теме... Бррррррр......
Диалога не вышло... Монолог тут!!!

Парень неплохо набил постов в своей теме... Бррррррр......
Диалога не вышло... Монолог тут!!!

не понял тебя..... на кого ты бочку катишь :confused: