28.01.2009, 13:53
|
|
Познавший АНТИЧАТ
Регистрация: 01.06.2008
Сообщений: 1,047
Провел на форуме:
5321514
Репутация:
3313
|
|
Сообщение от Gifts
astrologer При нормальном разграничении прав - Мэллори не сможет прочитать файл сессии. Если же у Мэллори будут права на чтение того же пользователя, что и пользователь данного хостинга - то прочитать можно гораздо более интересные файлы, а это уже полная компрометация сервера
Хэш от юзерагента+соль делает бессмысленным XSS атаки, что в большинстве случаев и нужно
О_о есть еще много способов как использовать xss.... К примену в активках реально устроить фрейм на связку, csrf... Ajax/json-hijacking, XML-injection иногда  способов куча
Последний раз редактировалось ChaaK; 28.01.2009 в 13:57..
|
|
|