28.02.2012, 01:20
|
|
Постоянный
Регистрация: 27.07.2011
Сообщений: 499
С нами:
7787126
Репутация:
53
|
|
Сообщение от R0nin
Пассивная/активная без разницы, ты должен понимать что javascript работает на стороне клиента. Если самописный движок ты должен будешь изучить его, чтобы провести XSRF. Там нету возможности украсть cookies?
update: точнее - есть ли там вообща аутентификация, и работает ли она на основе cookies?
есть конечно. и есть возможность воровать куки, естественно. только я преследую цель - сбор некоторых данных, а не кража аккаунтов. зачем изучать двиг, если нужно только взять сурс код?
+ я прекрасно знаю, про то, на чьей стороне работает js, именно из-за этого возможно получить страницу залогиненого юзера. Js спокойно работает в пределах атакуемого сайта, если у вас нет ничего по-существу вопроса, давайте не будем офтопить, спасибо.
я преследую не чистый xsrf, а лишь "некое" подобие)
|
|
|