Cookies httpOnly en Firefox 2.0.0.5

Iniciado por sirdarckcat, 20 Julio 2007, 06:42 AM

0 Miembros y 1 Visitante están viendo este tema.

sirdarckcat

Pues una de las novedades en Firefox 2.0.0.5 es la existencia de las cookies httpOnly.

Son algo asi:

Set-Cookie: cookie=valor; httpOnly;

y despues, es imposible accesarlas desde el atributo "cookie" en document..

Código (javascript) [Seleccionar]
document.cookie

Esto puede servir para evitar el robo de cookies, en ataques de XSS.

Sinembargo, poco despues de que salió, kuza55 de w4ck1ng, descubrió que en las peticiones AJAX, las cabeceras se envian de igual forma con las cookies, al hacer:

Código (javascript) [Seleccionar]
with(new XMLHttpRequest()){
open("GET",location,false);
send(null);
alert(getResponseHeader("Set-Cookie"));
}


En fin, esto debería cambiar en la siguiente version de Firefox, sinembargo, vale la pena mencionarlo, y puede ser explotado hasta que sea arreglado.

Saludos!!
este post quiere estar en un subforo de hacking web xD

wizache


yeikos

Para variar, implementan nuevos addons para intentar solucionar los fallos que comenten los propios programadores... ¡Que aprendan a programar ya de una vez!

NewLog

Me parece una gran idea. Es bueno que se preocupen de estas cosas. Un minipunto para firefox!

Y eso de un foro de Hacking Web no estaría nada mal!

Freeze.

Hacking Web, Deface, Defacing o como se llame... No es lo mismo?? o estoy equivocado...

PD: Si no es lo mismo es parecido :¬¬ :¬¬ :¬¬ :xD

sirdarckcat

no es lo mismo, y no es parecido..

hacking web, es hacking nivel web, es donde se estudian todas las vulnerabilidades nivel web.. es decir XSS, CSRF, SQLi, RFI, LFI, RCE, etc.. los defacers algunas veces usan este tipo de vulnerabilidades, pero el hacking web no tiene directamente que ver con eso.

Saludos!!

Freeze.


yeikos

Cita de: -Freeze- en 26 Julio 2007, 03:46 AM
Acepta que si se parece

Lo siento pero te equivocas, como bien ha dicho Sirdarckcat, cuando se hace referencia a hacking web, se refiere a hacking orientado a aplicaciones webs, que la mayoría se basan en un mal uso de la validación de caracteres...

NewLog

El defacing no es más que la acción de un ser frustrado.
El hacking web no és lo mismo que defacear una web. Igual que no es lo mismo el hacking que joderle el pc a alguien.

Freeze.