https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:59 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/930-session-fixation-rozwiazanie.html#c2953 https://archive.mroczna-zaloga.org/archives/930-session-fixation-rozwiazanie.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=930 nospam@example.com (Paweł Goleń) Z tymi wyzwaniami to jest tak, że podatności są oczywiste, jak się je już znajdzie. Ja na początku miałem problem z "nadpisaniem" ciastka przez document.cookie, więc się zirytowałem i wykorzystałem to drugie rozwiązanie jako brzydkie, ale skuteczne rozwiązanie. Później do mnie dotarło, że problemem była źle ustawiona ścieżka dla cookie, więc i document.cookie zaczęło działać. Jak patrzyłem na szybko na Twój przykład, to bardzo się skupiłem na jednej rzeczy, która rzuca się w oczy - brak określenia encodingu znaków. Teoretycznie daje to pewną drogę ataku w połączeniu z htmlspecialchars. Ale sądząc po Twojej uwadze o konieczności posiadania własnego serwera, to raczej chodzi o coś innego :) Tue, 19 Oct 2010 07:39:25 +0200 https://archive.mroczna-zaloga.org/archives/930-guid.html#c2953 https://archive.mroczna-zaloga.org/archives/930-session-fixation-rozwiazanie.html#c2952 https://archive.mroczna-zaloga.org/archives/930-session-fixation-rozwiazanie.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=930 nospam@example.com (Krzysztof Kotowicz) Rewelacja :) Żałuję, że nie miałem czasu, żeby siąść nad tym bootcampem, bo widzę, że rozwiązanie było b. ciekawe :) Co do ustawiania ciastek można również próbować wysycić globalny limit ciastek w przeglądarce, wypełniając je ciachami z innych domen, aż to dla naszej atakowanej domeny wygaśnie (ale to wymaga kilkudziesięciu domen, przynajmniej dla aktualnego Firefoxa). Pomysł jest bodajże rsnake'a, a szczegóły np tu http://jeremiahgrossman.blogspot.com/2010/07/patching-auto-complete-vulnerabilities.html. Wtedy również można ominąć httpOnly'owość ciastka, a nawet jego secure'owość, co łatwo prowadzi do session fixation. Cieszę się, że Ci się podoba mój XSS hackme - została jeszcze jedna nieujawniona podatność (dla IE), jeśli masz czas, zapraszam, choć to mniejsze wyzwanie niż ten "numer" z cookie. Mon, 18 Oct 2010 23:38:47 +0200 https://archive.mroczna-zaloga.org/archives/930-guid.html#c2952