Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   E-Mail (https://forum.antichat.xyz/forumdisplay.php?f=14)
-   -   Почти рабочая gif-инъекция (https://forum.antichat.xyz/showthread.php?t=55926)

Impuls* 16.12.2007 16:25
Почти рабочая gif-инъекция
 
Всем привет!

Вообщем такая штука:
на один мыльный сервис :) я отправил письмо с "картинкой".gif ,серверу сказал чтобы .gif обрабатывал как php-скрипт. Решил проверить, что получилось :)
Открываю новое письмо, смотрю - скрипт заработал, НО скрипт работает, если там есть такая строчка:
(я взял один готовый, который использовали для форумов)
PHP код:
Header('HTTP/1.1 401 Unauthorized');
Header('WWW-Authenticate: Basic realm="coastal.ru - login"'); 
Точнее сказать вышеприведенный код выполняется, появляется соответствующее окно, но я хочу чтобы выполнялись другие действия, которые почему-то не хотят работать. То есть та фишка работает, а другой мой скрипт нет...почему может такое быть, как избавиться от такой проблемы?? :confused:

С меня куча ++ :)

Dimo4ka14 16.12.2007 18:28
никак , и странно что чтото у тя работало.

Impuls* 16.12.2007 19:24
Но однако работает :)
Может кто знает почему так, кто сталкивался с этим - дайте пожалуйста внятный ответ.

V1k 16.12.2007 19:30
не зная, что за "другой скрипт", ничего сказать нельзя..
будь конкретней

groundhog 16.12.2007 21:57
Цитата:
...я отправил письмо с "картинкой".gif ,серверу сказал чтобы .gif обрабатывал как php-скрипт...
Это каким ты образом ему сказал? Поменял в конфигах обработку типов файлов?

Цитата:
Header('HTTP/1.1 401 Unauthorized');
Header('WWW-Authenticate: Basic realm="coastal.ru - login"');
Эти две строчки ничего не делают. Только посылают хидеры. Первая посылает ответ, что мол - доступ закрыт. А вторая посылает заголовк, распознав который, браузеры выводят окно логин/пароль.

Цитата:
Точнее сказать вышеприведенный код выполняется, появляется соответствующее окно, но я хочу чтобы выполнялись другие действия, которые почему-то не хотят работать.
Просто ты слабо представляешь о том, с чем имеешь дело. На мой взгляд, тут нету никакой инъекции. Будь конкретнее, из твоего описания ничего толкового выцепит не получится.

NOmeR1 16.12.2007 22:07
Цитата:
Сообщение от Impuls*
выполнялись другие действия
Объясни, какие действия, может доделаю. Ты хочешь угнать куки или что?

blackybr 16.12.2007 23:40
тут ситуация аналогичная описанной товарищем hidden в статье "Применение basic авторизации против форумов"

Impuls* 17.12.2007 21:36
Отвечу без цитат :)
Серверу я "сказал" выполнять код в файлах.gif конечно же в .htaccess
Что я хочу сделать - чтобы куки шли ко мне,когда юзер только откроет письмо.
Что пока получается:
как сказал товарищ groundhog (с) серв посылает только хидеры, а мне надо чтобы выполнился скрипт, ворующий куки ;)
С хидером имхо бред, так как там написан адрес моего сайта - видно подставу, я не понимаю одного - серв хидеры посылает, а другие какие-либо скрипты нет, вот в чем проблема...так бы хотелось сделать эту фичу :)

V1k 17.12.2007 21:46
никак, headers выполняются от имени того домена, на котором лежит твоя картинка-скрипт. С той страницей, в которой прописан img-тэг они ничем, кроме HTTP_REFERRER, не связаны. Много раз обсуждалось, ничего полезно получить отсюда нельзя.

Impuls* 17.12.2007 22:02
Очень жаль...спасибо за ответ.


Время: 20:10