Cookies httpOnly en Firefox 2.0.0.5

Iniciado por sirdarckcat, 20 Julio 2007, 06:42 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

sirdarckcat

20 Julio 2007, 06:42 AM
Pues una de las novedades en Firefox 2.0.0.5 es la existencia de las cookies httpOnly.

Son algo asi:

Set-Cookie: cookie=valor; httpOnly;

y despues, es imposible accesarlas desde el atributo "cookie" en document..

Código (javascript) [Seleccionar]
document.cookie

Esto puede servir para evitar el robo de cookies, en ataques de XSS.

Sinembargo, poco despues de que salió, kuza55 de w4ck1ng, descubrió que en las peticiones AJAX, las cabeceras se envian de igual forma con las cookies, al hacer:

Código (javascript) [Seleccionar]
with(new XMLHttpRequest()){
open("GET",location,false);
send(null);
alert(getResponseHeader("Set-Cookie"));
}

En fin, esto debería cambiar en la siguiente version de Firefox, sinembargo, vale la pena mencionarlo, y puede ser explotado hasta que sea arreglado.

Saludos!!
este post quiere estar en un subforo de hacking web xD

wizache

#1
20 Julio 2007, 18:54 PM
..interesante

yeikos

#2
20 Julio 2007, 19:33 PM
Para variar, implementan nuevos addons para intentar solucionar los fallos que comenten los propios programadores... ¡Que aprendan a programar ya de una vez!

NewLog

#3
26 Julio 2007, 02:00 AM
Me parece una gran idea. Es bueno que se preocupen de estas cosas. Un minipunto para firefox!

Y eso de un foro de Hacking Web no estaría nada mal!

Freeze.

#4
26 Julio 2007, 02:58 AM
Hacking Web, Deface, Defacing o como se llame... No es lo mismo?? o estoy equivocado...

PD: Si no es lo mismo es parecido :¬¬ :¬¬ :¬¬ :xD

sirdarckcat

#5
26 Julio 2007, 03:04 AM
no es lo mismo, y no es parecido..

hacking web, es hacking nivel web, es donde se estudian todas las vulnerabilidades nivel web.. es decir XSS, CSRF, SQLi, RFI, LFI, RCE, etc.. los defacers algunas veces usan este tipo de vulnerabilidades, pero el hacking web no tiene directamente que ver con eso.

Saludos!!

Freeze.

#6
26 Julio 2007, 03:46 AM
Acepta que si se parece :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬


:xD :xD :xD

yeikos

#7
26 Julio 2007, 14:28 PM
Cita de: -Freeze- en 26 Julio 2007, 03:46 AM
Acepta que si se parece

Lo siento pero te equivocas, como bien ha dicho Sirdarckcat, cuando se hace referencia a hacking web, se refiere a hacking orientado a aplicaciones webs, que la mayoría se basan en un mal uso de la validación de caracteres...

NewLog

#8
26 Julio 2007, 16:17 PM
El defacing no es más que la acción de un ser frustrado.
El hacking web no és lo mismo que defacear una web. Igual que no es lo mismo el hacking que joderle el pc a alguien.

Freeze.

#9
26 Julio 2007, 17:13 PM
Era borma :xD :xD


Pero ya entendi,....
Imprimir
Ir Arriba Páginas1
Acciones del Usuario