Форум АНТИЧАТ - FF3 urlencode

FF3 urlencode - баг или фича ?

14.03.2009, 13:24

geezer.code

Reservists Of Antichat - Level 6

Регистрация: 22.01.2007

Сообщений: 616

Провел на форуме:
7452489

Репутация: 1359

FF3 urlencode - баг или фича ?

Эта тема появилась благодаря вот этому посту
https://forum.antichat.ru/showpost.php?p=1168547&postcount=5949

все видят инъекцию, а я не вижу.

была проведена небольшая проверка

FF2 - инъекция проходит

Оpera 9.60 - инъекция проходит

Chrome 2.0.157.2 - инъекция проходит

IE7 - инъекция проходит
Safari 4 beta - инъекция проходит

и самое интересное:

Firefox 3.0.6(win) - инъекция НЕ проходит

Firefox 3.0.1(Ubuntu linux) - инъекция НЕ проходит

На локальном сервере пробую запрос:
http://localhost/form2'.html?a='asdf'
лог запроса от FF3

Код:

 "GET /form2%27.html?a=%27asdf%27 HTTP/1.1" 200 728

лог запроса от Opera

Код:

"GET /form2'.html?a='asdf' HTTP/1.1" 200 728

Вывод: ff3 производит URL-encode всего запроса перед отправкой на сервер.
может это и фича, но для проведения sqli - это баг.

Просьба ко всем у кого фф3 попробовать у себя, и отписать в теме если результаты будут оличаться от моих.

зы
спасибо jokester, за помощь в тестировании.

Последний раз редактировалось geezer.code; 14.03.2009 в 13:35..