|
FF3 urlencode - баг или фича ?
Эта тема появилась благодаря вот этому посту
https://forum.antichat.ru/showpost.php?p=1168547&postcount=5949 все видят инъекцию, а я не вижу. была проведена небольшая проверка FF2 - инъекция проходит http://s51.radikal.ru/i131/0903/d0/6c1d3a0bb239t.jpg Оpera 9.60 - инъекция проходит http://s49.radikal.ru/i123/0903/52/83e0fd4f4495t.jpg Chrome 2.0.157.2 - инъекция проходит http://s49.radikal.ru/i126/0903/e5/78ccbdd4820dt.jpg IE7 - инъекция проходит Safari 4 beta - инъекция проходит и самое интересное: Firefox 3.0.6(win) - инъекция НЕ проходит http://s40.radikal.ru/i087/0903/34/c2aa2b4bd836t.jpg Firefox 3.0.1(Ubuntu linux) - инъекция НЕ проходит На локальном сервере пробую запрос: http://localhost/form2'.html?a='asdf' лог запроса от FF3 Код:
"GET /form2%27.html?a=%27asdf%27 HTTP/1.1" 200 728Код:
"GET /form2'.html?a='asdf' HTTP/1.1" 200 728Вывод: ff3 производит URL-encode всего запроса перед отправкой на сервер. может это и фича, но для проведения sqli - это баг. Просьба ко всем у кого фф3 попробовать у себя, и отписать в теме если результаты будут оличаться от моих. зы спасибо jokester, за помощь в тестировании. |
Встречался уже с таким,давольно давно,и помоему ктото писал....поэтому всегда есть опера
|
такая же хрень фф3
|
фф linux 3.0.7 результат как у тебя
|
я кстати тоже давненько это заметил,так что у меня тоже самое
|
127.0.0.1 - - [15/Mar/2009:00:26:53 +0500] "GET /3.php?c=%27 HTTP/1.1" 200 27
Мда |
Пост/куки не енкодит, онли гет
|
сейчас выкачиваю сорцы ff3, интересно взглянуть на этот чудо-код.
|
в общем скачал сорцы ff3.0.7 и вот что вижу
Код:
NS_IMETHODIMP |
Firefox 3.1b3
НЕ проходит |
| Время: 02:41 |