ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > E-Mail
Перезагрузить страницу Почти рабочая gif-инъекция
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Почти рабочая gif-инъекция
  #1  
Старый 16.12.2007, 16:25
Аватар для Impuls*
Impuls*
Познающий
Регистрация: 03.10.2007
Сообщений: 83
Провел на форуме:
213499

Репутация: 9
Question Почти рабочая gif-инъекция
Всем привет!

Вообщем такая штука:
на один мыльный сервис я отправил письмо с "картинкой".gif ,серверу сказал чтобы .gif обрабатывал как php-скрипт. Решил проверить, что получилось
Открываю новое письмо, смотрю - скрипт заработал, НО скрипт работает, если там есть такая строчка:
(я взял один готовый, который использовали для форумов)
PHP код:
Header('HTTP/1.1 401 Unauthorized');
Header('WWW-Authenticate: Basic realm="coastal.ru - login"'); 
Точнее сказать вышеприведенный код выполняется, появляется соответствующее окно, но я хочу чтобы выполнялись другие действия, которые почему-то не хотят работать. То есть та фишка работает, а другой мой скрипт нет...почему может такое быть, как избавиться от такой проблемы??

С меня куча ++
 
Ответить с цитированием

  #2  
Старый 16.12.2007, 18:28
Аватар для Dimo4ka14
Dimo4ka14
Постоянный
Регистрация: 23.12.2005
Сообщений: 363
Провел на форуме:
1024832

Репутация: 233
По умолчанию
никак , и странно что чтото у тя работало.
 
Ответить с цитированием

  #3  
Старый 16.12.2007, 19:24
Аватар для Impuls*
Impuls*
Познающий
Регистрация: 03.10.2007
Сообщений: 83
Провел на форуме:
213499

Репутация: 9
По умолчанию
Но однако работает
Может кто знает почему так, кто сталкивался с этим - дайте пожалуйста внятный ответ.
 
Ответить с цитированием

  #4  
Старый 16.12.2007, 19:30
Аватар для V1k
V1k
Познающий
Регистрация: 01.02.2007
Сообщений: 41
Провел на форуме:
1718137

Репутация: 201
По умолчанию
не зная, что за "другой скрипт", ничего сказать нельзя..
будь конкретней
 
Ответить с цитированием

  #5  
Старый 16.12.2007, 21:57
Аватар для groundhog
groundhog
Познавший АНТИЧАТ
Регистрация: 12.05.2007
Сообщений: 1,235
Провел на форуме:
2238549

Репутация: 1318


Отправить сообщение для groundhog с помощью ICQ
По умолчанию
Цитата:
...я отправил письмо с "картинкой".gif ,серверу сказал чтобы .gif обрабатывал как php-скрипт...
Это каким ты образом ему сказал? Поменял в конфигах обработку типов файлов?

Цитата:
Header('HTTP/1.1 401 Unauthorized');
Header('WWW-Authenticate: Basic realm="coastal.ru - login"');
Эти две строчки ничего не делают. Только посылают хидеры. Первая посылает ответ, что мол - доступ закрыт. А вторая посылает заголовк, распознав который, браузеры выводят окно логин/пароль.

Цитата:
Точнее сказать вышеприведенный код выполняется, появляется соответствующее окно, но я хочу чтобы выполнялись другие действия, которые почему-то не хотят работать.
Просто ты слабо представляешь о том, с чем имеешь дело. На мой взгляд, тут нету никакой инъекции. Будь конкретнее, из твоего описания ничего толкового выцепит не получится.
 
Ответить с цитированием

  #6  
Старый 16.12.2007, 22:07
Аватар для NOmeR1
NOmeR1
Познавший АНТИЧАТ
Регистрация: 02.06.2006
Сообщений: 1,188
Провел на форуме:
6023777

Репутация: 2642


Отправить сообщение для NOmeR1 с помощью ICQ
По умолчанию
Цитата:
Сообщение от Impuls*  
выполнялись другие действия
Объясни, какие действия, может доделаю. Ты хочешь угнать куки или что?
 
Ответить с цитированием

  #7  
Старый 16.12.2007, 23:40
Аватар для blackybr
blackybr
♠ ♦ ♣ ♥
Регистрация: 18.05.2006
Сообщений: 1,828
Провел на форуме:
8042357

Репутация: 3742


Отправить сообщение для blackybr с помощью ICQ Отправить сообщение для blackybr с помощью AIM Отправить сообщение для blackybr с помощью Yahoo
По умолчанию
тут ситуация аналогичная описанной товарищем hidden в статье "Применение basic авторизации против форумов"
__________________
Привет! Меня зовут Джордж, и я хотел бы рассказать вам про реинкарнацию (ц) 2x2
 
Ответить с цитированием

  #8  
Старый 17.12.2007, 21:36
Аватар для Impuls*
Impuls*
Познающий
Регистрация: 03.10.2007
Сообщений: 83
Провел на форуме:
213499

Репутация: 9
По умолчанию
Отвечу без цитат
Серверу я "сказал" выполнять код в файлах.gif конечно же в .htaccess
Что я хочу сделать - чтобы куки шли ко мне,когда юзер только откроет письмо.
Что пока получается:
как сказал товарищ groundhog (с) серв посылает только хидеры, а мне надо чтобы выполнился скрипт, ворующий куки
С хидером имхо бред, так как там написан адрес моего сайта - видно подставу, я не понимаю одного - серв хидеры посылает, а другие какие-либо скрипты нет, вот в чем проблема...так бы хотелось сделать эту фичу
 
Ответить с цитированием

  #9  
Старый 17.12.2007, 21:46
Аватар для V1k
V1k
Познающий
Регистрация: 01.02.2007
Сообщений: 41
Провел на форуме:
1718137

Репутация: 201
По умолчанию
никак, headers выполняются от имени того домена, на котором лежит твоя картинка-скрипт. С той страницей, в которой прописан img-тэг они ничем, кроме HTTP_REFERRER, не связаны. Много раз обсуждалось, ничего полезно получить отсюда нельзя.
 
Ответить с цитированием

  #10  
Старый 17.12.2007, 22:02
Аватар для Impuls*
Impuls*
Познающий
Регистрация: 03.10.2007
Сообщений: 83
Провел на форуме:
213499

Репутация: 9
По умолчанию
Очень жаль...спасибо за ответ.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Sql инъекция и Oracle, часть первая k00p3r Чужие Статьи 0 13.06.2005 11:23
SQL инъекция в сервере MySQL k00p3r Чужие Статьи 0 12.06.2005 12:41
Уязвимость в IE 6.0 при обработке файлов jpg, gif, txt. SpiderX Статьи 10 24.04.2005 00:31



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ