Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
05.03.2009, 19:41
|
|
Постоянный
Регистрация: 31.01.2008
Сообщений: 643
Провел на форуме:
6128108
Репутация:
445
|
|
если я обнаружил xss на поддомене к примеру search.sait.ru
то можно ли стырить куки с sait.ru?
Или куки тыряться токо с поддомена если я зашлю челу каторый авторизован на sait.ru?
|
|
|
05.03.2009, 19:45
|
|
Постоянный
Регистрация: 19.03.2007
Сообщений: 684
Провел на форуме:
3152874
Репутация:
1020
|
|
Сообщение от diznt
если я обнаружил xss на поддомене к примеру search.sait.ru
то можно ли стырить куки с sait.ru?
Или куки тыряться токо с поддомена если я зашлю челу каторый авторизован на sait.ru?
Нет, поддомен это уже другой сайт, куки там будут свои.
Если в куках конечно не прописываеться domain:.sait.ru
Последний раз редактировалось AkyHa_MaTaTa; 05.03.2009 в 19:47..
|
|
|
|
05.03.2009, 19:47
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Сообщение от diznt
если я обнаружил xss на поддомене к примеру search.sait.ru
то можно ли стырить куки с sait.ru?
Или куки тыряться токо с поддомена если я зашлю челу каторый авторизован на sait.ru?
Бывает так, что куки ставятся для всех поддоменов.
То есть так
Set-Cookie: cooka=value; host=*.domen.com
На майлру так. Поэтому куки с одного домена доступны на другом.
|
|
|
|
05.03.2009, 19:57
|
|
Постоянный
Регистрация: 19.03.2007
Сообщений: 684
Провел на форуме:
3152874
Репутация:
1020
|
|
Сообщение от попугай
Бывает так, что куки ставятся для всех поддоменов.
То есть так
Set-Cookie: cooka=value; host=*.domen.com
На майлру так. Поэтому куки с одного домена доступны на другом.
Посмотри по внимательнее header на том же mail.ru там идет
Set-Cookie: Mpopl=79670372; expires=Thu, 05 Mar 2009 16:08:57 GMT; path=/; domain=.mail.ru
насчет host=*.domen.com - не слышел не разу, может и так работает.
Я основываюсь на http://www.faqs.org/rfcs/rfc2109 и http://www.faqs.org/rfcs/rfc2965 - там нет ничего про host
Последний раз редактировалось AkyHa_MaTaTa; 05.03.2009 в 20:04..
|
|
|
|
05.03.2009, 19:59
|
|
Постоянный
Регистрация: 27.10.2008
Сообщений: 491
Провел на форуме:
4002393
Репутация:
464
|
|
вот что обнаружыл(чисто случайно))))
Ошибка БД
Error Number: 1267
Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (cp1251_general_ci,COERCIBLE) for operation '='
SELECT * FROM (`users`) WHERE `name` = 'й' LIMIT 1
наскоко я понял там когда вводиш руские символы вылезает такая ошыбка. А можно как то раскрутить ето все дело??? я просто такое раньше никогда не видел |
|
|
|
05.03.2009, 20:03
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
если я обнаружил xss на поддомене к примеру search.sait.ru
то можно ли стырить куки с sait.ru?
можно
Из browser security handbook:
domain=example.com is exactly equivalent to domain=.example.com
@zifanchuck
в случае если кавычки не фильтруются
Последний раз редактировалось [Raz0r]; 05.03.2009 в 20:07..
|
|
|
|
05.03.2009, 20:21
|
|
Постоянный
Регистрация: 27.10.2008
Сообщений: 491
Провел на форуме:
4002393
Репутация:
464
|
|
@zifanchuck
в случае если кавычки не фильтруются
подставил ковычку ошыбки нету((( а жаль
|
|
|
|
05.03.2009, 21:01
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Сообщение от AkyHa_MaTaTa
Посмотри по внимательнее header на том же mail.ru там идет
Set-Cookie: Mpopl=79670372; expires=Thu, 05 Mar 2009 16:08:57 GMT; path=/; domain=.mail.ru
насчет host=*.domen.com - не слышел не разу, может и так работает.
Я основываюсь на http://www.faqs.org/rfcs/rfc2109 и http://www.faqs.org/rfcs/rfc2965 - там нет ничего про host
Да, я про это и говорил. Перепутал просто - не host, а domen, и не *.mail.ru, а просто .mail.ru.
Куки ставятся на все поддомены.
|
|
|
|
05.03.2009, 21:10
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
Провел на форуме:
4072944
Репутация:
1550
|
|
2 zifanchuck давай урлу
|
|
|
|
05.03.2009, 22:07
|
|
Banned
Регистрация: 20.06.2008
Сообщений: 296
Провел на форуме:
1385078
Репутация:
126
|
|
Microsoft OLE DB Provider for SQL Server error '80040e21'
Unclosed quotation mark before the character string ''.
/inc/connection.asp, line 48
это бага?
если да то неполучается узнать даже версию
Код:
/details.asp?id=699882982&dme_code=1%20or%201=@@version--
в ответ получаю
Код:
Microsoft OLE DB Provider for SQL Server error '80040e21' Incorrect syntax near the keyword 'or'. /inc/connection.asp, line 48
Последний раз редактировалось F4R; 05.03.2009 в 22:18..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.jpg?1151971){kind=avatar}
Похожие темы
Линейный вид
