Session ou cookie ?

Répondre
Citer ce message
mojorisin
le 03/04/2006 à 20:41
mojorisin
Sans aller jusqu'au Social Engineering , au spoofing et autres sniffer réseau une simple faille de programmation peut permettre de récuperer beaucoup de choses sur des utilisateurs. Notement avec les failles de type csrf.
Et elles sont nombreuses sur beaucoup de sites je pense :)
echo ’16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq’|dc
Citer ce message
Bzh
le 03/04/2006 à 21:08
Bzh
Tu veux dire faille XSS (CSS) ? Injections de javascript par exemple ??? Je suis tout à fait d'accord !

Injecter des infos supplémentaire dans le cookie suffit à se protêger d'un simple vol de cookie par 90% des tits hackeurs qui se prennent pour des bosses en exploitant ces failles là...

Ca n'a pas pour but d'être infaillible (sinon utilisation de HTTPS), juste à rendre un peu plus sérieu l'utilisation d'un simple cookie comme auto-identification.

Voili...
Citer ce message
mojorisin
le 03/04/2006 à 22:32
mojorisin
Non je parlais pas de faille xss mais bien csrf (cross-site request forgery). Cette faile peut notemment etre exploitée sur les script qui accepte des balises de type bbcode acceptant des images par exemple.
echo ’16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq’|dc
Citer ce message
Bzh
le 03/04/2006 à 22:43
Bzh
Ah ? Tu peux developper un peu ???? Je ne connais pas de tout cette faille !

On peut récuperer un cookie avec ? Je suis fan des balises bb-code !

Tu peux expliquer un peu ???
Répondre

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours