Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: sirdarckcat en 20 Julio 2007, 06:42 am


Título: Cookies httpOnly en Firefox 2.0.0.5
Publicado por: sirdarckcat en 20 Julio 2007, 06:42 am
Pues una de las novedades en Firefox 2.0.0.5 es la existencia de las cookies httpOnly.

Son algo asi:

Set-Cookie: cookie=valor; httpOnly;

y despues, es imposible accesarlas desde el atributo "cookie" en document..

Código
  1. document.cookie

Esto puede servir para evitar el robo de cookies, en ataques de XSS.

Sinembargo, poco despues de que salió, kuza55 de w4ck1ng, descubrió que en las peticiones AJAX, las cabeceras se envian de igual forma con las cookies, al hacer:

Código
  1. with(new XMLHttpRequest()){
  2. open("GET",location,false);
  3. send(null);
  4. alert(getResponseHeader("Set-Cookie"));
  5. }

En fin, esto debería cambiar en la siguiente version de Firefox, sinembargo, vale la pena mencionarlo, y puede ser explotado hasta que sea arreglado.

Saludos!!
este post quiere estar en un subforo de hacking web xD

Título: Re: Cookies httpOnly en Firefox 2.0.0.5
Publicado por: wizache en 20 Julio 2007, 18:54 pm
..interesante

Título: Re: Cookies httpOnly en Firefox 2.0.0.5
Publicado por: yeikos en 20 Julio 2007, 19:33 pm
Para variar, implementan nuevos addons para intentar solucionar los fallos que comenten los propios programadores... ¡Que aprendan a programar ya de una vez!

Título: Re: Cookies httpOnly en Firefox 2.0.0.5
Publicado por: NewLog en 26 Julio 2007, 02:00 am
Me parece una gran idea. Es bueno que se preocupen de estas cosas. Un minipunto para firefox!

Y eso de un foro de Hacking Web no estaría nada mal!

Título: Re: Cookies httpOnly en Firefox 2.0.0.5
Publicado por: Freeze. en 26 Julio 2007, 02:58 am
Hacking Web, Deface, Defacing o como se llame... No es lo mismo?? o estoy equivocado...

PD: Si no es lo mismo es parecido :¬¬ :¬¬ :¬¬ :xD

Título: Re: Cookies httpOnly en Firefox 2.0.0.5
Publicado por: sirdarckcat en 26 Julio 2007, 03:04 am
no es lo mismo, y no es parecido..

hacking web, es hacking nivel web, es donde se estudian todas las vulnerabilidades nivel web.. es decir XSS, CSRF, SQLi, RFI, LFI, RCE, etc.. los defacers algunas veces usan este tipo de vulnerabilidades, pero el hacking web no tiene directamente que ver con eso.

Saludos!!

Título: Re: Cookies httpOnly en Firefox 2.0.0.5
Publicado por: Freeze. en 26 Julio 2007, 03:46 am
Acepta que si se parece :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬ :¬¬


:xD :xD :xD

Título: Re: Cookies httpOnly en Firefox 2.0.0.5
Publicado por: yeikos en 26 Julio 2007, 14:28 pm
Cita de: -Freeze- en 26 Julio 2007, 03:46 am
Acepta que si se parece

Lo siento pero te equivocas, como bien ha dicho Sirdarckcat, cuando se hace referencia a hacking web, se refiere a hacking orientado a aplicaciones webs, que la mayoría se basan en un mal uso de la validación de caracteres...

Título: Re: Cookies httpOnly en Firefox 2.0.0.5
Publicado por: NewLog en 26 Julio 2007, 16:17 pm
El defacing no es más que la acción de un ser frustrado.
El hacking web no és lo mismo que defacear una web. Igual que no es lo mismo el hacking que joderle el pc a alguien.

Título: Re: Cookies httpOnly en Firefox 2.0.0.5
Publicado por: Freeze. en 26 Julio 2007, 17:13 pm
Era borma :xD :xD


Pero ya entendi,....


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines