Форум АНТИЧАТ - xss на рамблере: как обойти HttpOnly

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > E-Mail
xss на рамблере: как обойти HttpOnly

Опции темы

Поиск в этой теме

Опции просмотра

xss на рамблере: как обойти HttpOnly

14.02.2009, 01:03

kl0yn

Познающий

Регистрация: 15.12.2008

Сообщений: 30

Провел на форуме:
438085

Репутация: 15

xss на рамблере: как обойти HttpOnly

Ни для кого не секрет, что на рамблере есть много xss-уязвимостей. Но не всегда получаеться их использовать, потому что куку по которой можно получить доступ к ящику, рамблер дает с атрибутом HttpOnly. Т. е. джава скрипт просто не видит эту куку. Один только файрфокс игнорирует этот атрибут и передает джава скрипту куки с HttpOnly.

Есть ли актуальный метод обхода HttpOnly?

15.02.2009, 20:14

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

Провел на форуме:
73525

Репутация: 20

да чет не занимался. ты лучше скажи, сканером иль ручками нашел?

15.02.2009, 20:21

kl0yn

Познающий

Регистрация: 15.12.2008

Сообщений: 30

Провел на форуме:
438085

Репутация: 15

mikhoni, что нашел? xss пасивку? Да их же куча в паблике. И рамблер их и не очень спешит закрывать.

15.02.2009, 20:53

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

Провел на форуме:
73525

Репутация: 20

а ну спасибо) посмотрю) может чего придумаю.

15.02.2009, 22:58

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

Провел на форуме:
73525

Репутация: 20

хм, а что мешает запихнуть ифрейм поверх с сообщением типа введите пароль.
сабмит на снифер, а потом редирект на станичку рамблера.
нада разобраться в коде и сделать джаваскрипт который поменяет страничку коорденатьно. долго, но если сделать хорошо, жертва даже не заметит.
есть пару идей. стукни мне в асю 8365777.

16.02.2009, 03:15

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

Провел на форуме:
73525

Репутация: 20

Ну рас уж тут все в паблик. проблема решена) xss раскрутили,
немножко иначе, но все работает. скоро выложим результаты. все дочерта проста)
думаю многие сами до этого дошли!

16.02.2009, 03:24

bombeg

Участник форума

Регистрация: 27.10.2008

Сообщений: 244

Провел на форуме:
963613

Репутация: 428

Цитата:

Один только файрфокс игнорирует этот атрибут и передает джава скрипту куки с HttpOnly.

и давно ли он начал так делать?

16.02.2009, 04:13

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

Провел на форуме:
73525

Репутация: 20

их задолбало искать xss вот и сделали.

16.02.2009, 09:27

Tigger

Познавший АНТИЧАТ

Регистрация: 27.08.2007

Сообщений: 1,107

Провел на форуме:
5386281

Репутация: 1177

Отправить сообщение для Tigger с помощью ICQ

Парень неплохо набил постов в своей теме... Бррррррр......
Диалога не вышло... Монолог тут!!!

#10

19.02.2009, 04:51

mikhoni

Познающий

Регистрация: 20.08.2008

Сообщений: 35

Провел на форуме:
73525

Репутация: 20

Цитата:

Сообщение от Tigger

Парень неплохо набил постов в своей теме... Бррррррр......
Диалога не вышло... Монолог тут!!!

не понял тебя..... на кого ты бочку катишь

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Юмор. Анекдоты, смешные рассказы/логи.	Mobile	Болталка	1356	16.06.2010 16:46
Фильтры гугла и как их обходить	[ANGEL]	Статьи	2	13.02.2009 04:56
Социальная инженерия. Профессиональное программирование. Последовательный взлом	dinar_007	Болталка	15	23.12.2008 12:30
IE XSS Kit	.Slip	Чаты	22	23.10.2006 06:45
Xss для новичков	Micr0b	Уязвимости	0	04.06.2006 18:25

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход