Strona 1 z 3 123 OstatniOstatni
Pokaż wyniki 1 do 10 z 26

Temat: Wykorzystanie javascript i document.cookie

  1. #1
    Zarejestrowany
    Mar 2007
    Postów
    15

    Domyślnie Wykorzystanie javascript i document.cookie

    Czytałem z pewnej strony (http://sekretyhakerow.pl), że można włamać się na daną strone używając przy informacjach, których uzyskujemy wpisując "javascript: alert(document.cookie) " , jak wiecie jak to zrobić to pomóżcie

    <Ten post jest lamerski> więc nie śmiejcie się ze mnie bo nie jestem jakimś wspaniałym hackerem i dopiero się uczę hackingu.
    Pozdrawiam

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Po pierwsze zmienilem temat na bardziej opisujacy co jest w poscie - staraj sie na przyszlosc pisac cos bardziej logicznego niz 'Lamerskie pytanie' :-)

    Co do document.cookie i uzycia javascript - czesto w cookie jest zapisany identyfikator sesji klienta ktory jest zalogowany na jakas strone. Jesli uda Ci sie przechwycic taki identyfikator (nazwa nie ma znaczenia ale potocznie jest to SessionID) to jesli system nie jest za dobrze napisany, to mozesz wejsc na strone jako dany delikwent.

    Wyobraz sobie sytuacje - logujesz sie na forum i dostajesz unikatowy identyfikator sesji ktory masz zapisany w ciasteczku. Czytajac tego posta przy pomocy javascript przechwycilem Twoj identyfikator sesji i wiem ze ktos (nie wiem kto) jest zalogowany z danym SessionID ale to wszystko co wiem - nie mam loginu, hasla ani nawet nie znam Twojego IP... ale to mi wystarczy.
    Ustawiam recznie ciasteczko tak aby wygladalo jak Twoje, wchodze na strone na ktorej jestes i juz jestem Toba :-) Moge nawet legalnie zmienic Twoje haslo jesli system nie pyta przy tym o stare haslo :-)

    Sa jednak pewne warunki - wiele zalezy od implementacji obslugi sesji...

    1. Sesje maja swoj okres waznosci - jak bedziesz za pozno to juz nic nie zrobisz
    2. W bazie sa przechowywane informacje o aktualnie zalogowanych osobach - najczesciej login, id sesji, czas ostatniego klikniecia (kiedy wchodziles na jakas strone) choc to ostatnie juz nie koniecznie
    3. czasami w bazie z lista sesji jest jeszcze IP zapisane z ktorego ostatnio wchodziles... ale ogranicza to uzytecznosc nieco bo jesli uzywasz na przyklad Neo i zmieni Ci sie IP to juz jestes wylogowany... a to moze sporo namieszac!


    Wystarczy ze znam Twoj identyfikator sesji gdy jestes zalogowany i w wielu przypadkach to wszystko czego potrzebuje aby 'przejac Twoja sesje' (jest to tzw. session hijacking).

    To tyle w temacie...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    w4j
    w4j jest offline
    Zarejestrowany
    Feb 2007
    Postów
    69

    Domyślnie

    a jak rozczytać alert, który powstaje? Czyli co oznaczają te litery, cyfry i podkreślniki?
    Edit: Gdzie mozilla FF przechowuje cookies?
    Ostatnio edytowane przez w4j : 04-02-2007 - 22:38

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jak to rozczytac alert... jak robisz javascript:alert() to to spowoduje wyswietlenie informacji userowi jako alert a nie przekazanie do Ciebie :-) a to nic Ci nie da :-)

    Co do tego gdzie FF trzyma ciacha - nie ma to znaczenia gdzie, wazne ze mozna sie do nich dostac przez javascript :-p
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Avatar ble34
    ble34 jest offline jestem bugiem
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie re

    to co jest w alercie to twoje ciacho oile wiem więc nic ci nieda bo ty już je masz

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Odpowiedzia jest dobrze przemyslany atak XSS na stronach ktore sie jeszcze daja na to nabrac

    ble34 - przeciez nie podam na srebrnej tacy jak komus zakosic session id...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Mar 2007
    Postów
    15

    Domyślnie Dzięki

    Bardzo dziękuje za pomoc!!! Aha Jak już powiedziałem dopiero się uczę!!!
    Szukałem jak ustawić ręcznie cookie i nigdzie nie moge znaleź, więc prosze ostatni raz o pomoc. Jak nie chcecie to nie odpowiadajcie!!!
    Ostatnio edytowane przez Joda : 04-03-2007 - 07:27

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Najprosciej dodac ciacho na poziomie przegladarki albo w trakcie przesylania zapytania za pomoca spejcalnego proxy (albo jakiegokolwiek proxy ktore na to pozwala)... albo za pomoca odpowiednich pluginow do przegladarki...

    Firefox ma co najmniej kilka... poszukaj a na pewno znajdziesz!
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    w4j
    w4j jest offline
    Zarejestrowany
    Feb 2007
    Postów
    69

    Domyślnie

    ja rozumie, że ten alert pokazuje mi moje ciacho (i o co chodzi w atakach tego typu), ale chciałbym wiedzieć czy jest on identyczny z tym co jest w pliku cookie, o czym on do mnie rozmawia, również przydałby mi się wiedzieć gdzie mozilla FF trzyma ciacha. Jeżeli zrozumie jak się zmieniają moje ciacha w zależności od tego czy jestem zalogowany czy nie itp to łatwiej będzie mi się wziąć za cudze. Tak kombinuje

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Na 100% bedzie to identyczne... i do tego dla konkretnej strony :-)
    Odpisalem juz na PM jednej osobie... napisze wiec i tutaj...

    Do FF jest kilka dobrych i przydatnych pluginow, ktore pomagaja w manipulacji ciasteczkami i w zabawach z takimi rzeczami ogolnie... Ja uzywam w sumie 7 pluginow do analizy tego co siedzi w stronach i na czym stoja serwery.
    Nazw nie podaje na razie - poszukajcie sami... a dokladnie nauczcie sie szukac

    Powiem Wam tylko, ze i tak te pluginy sa dziecinnie proste (choc juz sporo potrafia) w porownaniu ze specjalnymi aplikacjami do tego celu napisanymi... a te tez sa darmowe i dostepne do zassania z sieci. Trzeba tylko wiedziec czego sie szuka a nie bez sensu klepac i klepac w klawisze
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 3 123 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj