Analizando una cookie

Foro de elhacker.net

Seguridad Informática

Hacking

Bugs y Exploits

Nivel Web (Moderadores: sirdarckcat, WHK)

Analizando una cookie

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: Analizando una cookie (Leído 4,904 veces)

Ambr0si0

Desconectado

Mensajes: 105

Analizando una cookie

« en: 3 Marzo 2011, 02:19 am »

Buenas, mediante una vulnerabilidad XSS he conseguido injectar codigo javascript, el problema que tengo es que cuando hago un alert(document.cookie) me aparece todos los campos excepto uno, el phpsessid. Utilizando el tamperdata(addon del firefox) veo que cuando se conecta al servidor envia la cookie con todos los campos que me muestra document.cookie mas el PHPESSID, el cual no me aparece. Y claro no tengo de ideda de donde podria obtener este string en javascript.

Haber si me podeis hechar una mano, y me recomendais algun manera por donde tirar que estoy bastante bloqueado.

Saludos y gracias.


	En línea

I'll tell you something about good-looking people, we're not well-liked.

Ambr0si0

Desconectado

Mensajes: 105

Re: Analizando una cookie

« Respuesta #1 en: 3 Marzo 2011, 16:09 pm »

Despues de comerme mucho la cabeza he visto que el PHPESSID tiene el atriubuto HttpOnly, con lo que vamos jodidos.
Existe alguna manera de poder obtener este valor?

Saludos.


	En línea

I'll tell you something about good-looking people, we're not well-liked.

#!drvy

Desconectado

Mensajes: 5.855

Re: Analizando una cookie

« Respuesta #2 en: 3 Marzo 2011, 16:33 pm »

Hola,

Segun mis conocimientos el PHPSESSID es una cookie la cual apunta a una session (Que se guarda en el servidor y no en el PC del usuario).

Diferencias entre session y cookie

Saludos


	En línea

https://www.youtube.com/watch?v=oqKsrSXLR98

Ambr0si0

Desconectado

Mensajes: 105

Re: Analizando una cookie

« Respuesta #3 en: 3 Marzo 2011, 19:01 pm »

Si exacto. Gracias.
Y para suplantar a la victima en nesario ese valor
Voy a poner una imagenes para ilustrar el problema:

Primero el servidor mediate un set me manda esta cookie:
http://img7.imageshack.us/i/99791416.gif

y cuando me logueo el servidor me envia estos otros campos:
http://img696.imageshack.us/f/58140809.gif

Como tiene el atributo httponly segun leo en la wikipedia:
HttpOnly cookie is still in IETF draft[8], though most of the modern browsers support it. On a supported browser, a HttpOnly cookie will only be used when transmitting HTTP (or HTTPS) requests, but the cookie value is not available to client side script, hence mitigate the threat of cookie theft via Cross-site scripting.

Es bueno saber que alguno sitios ponen empeño que en la seguridad, y eso que en este caso solo se trata de un juego.

Y la pregunta es y ahora por donde podemos seguir investigando.

Saludos!


	En línea

I'll tell you something about good-looking people, we're not well-liked.

~ Yoya ~

Wiki

Desconectado

Mensajes: 1.125

Re: Analizando una cookie

« Respuesta #4 en: 5 Marzo 2011, 00:03 am »

Puedes leer este articulo que hize:
HttpOnly Mecanismo de seguridad para evitar el robo de cookies

Saludos.


	En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

Páginas: [1]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	Nmap - Analizando puertos. Seguridad	CaronteGold	4	7,628	29 Enero 2011, 20:35 pm por CaronteGold
	Ayuda analizando programa Ingeniería Inversa	ElvenS	6	3,906	22 Julio 2011, 02:26 am por apuromafo CLS
	Analizando una empresa Hacking	Ambr0si0	4	3,874	25 Julio 2011, 15:54 pm por Ambr0si0
	Analizando un Autorun.inf de virus (USB) « 1 2 3 » Análisis y Diseño de Malware	adan-2994	28	16,968	15 Agosto 2011, 20:01 pm por тαптяα
	Operación Potao Express: analizando un kit de herramientas de espionaje Noticias	r32	0	1,313	7 Septiembre 2015, 20:42 pm por r32