not_bad said:
Не смотря на количество выкуреных мануалов по кукам, остались у меня еще некоторые вопросы которые хотел бы уточнить.
1) Первый и самый главный: хранится всетаки или нет в кукисах пароль? Одни говорят одно другие другое. Как я понял он в них может хранится в зашифрованном виде и раньше так и было в основном, сейчас же используется идентификатор сессии а сам пароль передается только при авторизации. Поправьте если что не так.
2) Как влияет смена ип на сессию? Насколько я понял если стоит привязка к ип то выкинет обратно на страницу авторизации если заходиш с другого компа?
3) Что будет если ты допустим перехватил постоянные куки или куки которым жить отведено долго достаточно, но юзер авторизовался заново? Перехваченые куки становятся бесполезными и принимать их уже не будет?
4) Можно ли зайти одновременно с 2х компов с одним куки если ип один и тот же (компы одной сети), и если ип разный?

vova1609 said:
Нашел пассивную XSS уязвимость в форме регистрации, то есть ввести
скрипт выпоняется. Вся проблема в том что нельзя из этого сделать ссылку и кинуть админу чтобы забрать его куки. Есть еще другие методы чтобы раскрутить это дело?