Все не по RFC реализовано )
chrome 180 (после отправки первого запроса без кук их станет уже 150)
safari ~2800/LEN(cookie_name+cookie_val)
opera 60
firefox 149
iexplore 49
Да, в этом WARNING по-сути все то, что в этом топике сжато написано.
Если вопрос в том, что указывать в домене — то ответ простой:
«domain.com», без ведущей точки впереди.
должен быть текущий домен. да, RFC. но браузеры, они такие браузеры… В RFC прямо описание этой ошибки, вы правы: «WARNING: Some existing user agents treat an absent Domain
attribute as if the Domain attribute were present and contained
the current host name. For example, if example.com returns a Set-
Cookie header without a Domain attribute, these user agents will
erroneously send the cookie to www.example.com as well»
«Однако многие пользователи при регистрации учетной записи на eBay, в электронных адресах, в соцсетях, на форумах — используются одни и те же имена» — то есть как бы это не проблема eBay.
Буквально на дня нашел интересную ошибку в логике реализации работы с ИОК. Скомпрометировали ftp с CRL'ем. Положили в отозванные свой сертификат с датой отзыва в будущем, и все — наш сертификат, выданный абы-кем стал валидным, хотя если его в СОС не было — не работал.
СКЗИ должно обеспечивать библиотеками для работы с OCSP/TSP и все прочие ИОК вызовы делать на своей стороне. Если давать разработчикам низкоуровневые функции, ничего не выйдет кроме багов. Встречал случаи, где даже корневые не проверялись нормально. PKI он такой PKI…
Ага, тоже так делал, пока не устал эти регулярки писать. Очень много получается веб-приложений и все такие разные, что пришлось изобретать какую-то утилиту под свои нужды. В целом, посмотрите на TXL (http://www.txl.ca/ www.txl.ca/examples/Grammars/PHP/README.txt)
Вот dookie отвечал, что при пентесте авторизацию находил на его основе )
Чаще всего, это действительно поиск.
Из моей практики, в корпоративном приложении из $_SESSION['email'] вырезался домен и выводились пользователи, которые с авторизованным пользователем в одной домене.
Таким образом, email вида vasya@%%%%%%% давал нам возможность вывести весь список пользователей системы, а не только разрешенных — своего домена.
у нас своя разработка статического анализатора. Статический анализ привязан скорее уже не к конструкциям, а к структуре кода, скорее всего вы про это и говорили. Поэтому такие вещи как RIPS не справляются с ООП. Но если знать, что хочется найти, то, скажем, выполнить задачу «поиск всех функций где аргумент попадает в SQL запрос без фильтрации» выполнить можно быстро и качественно.
Не составлял, сложно и муторно. Есть средства статического анализа кода, они позволяют выполнять эту работу более комплексно и не привязаны к конкретным конструкциями.
Ничего криминального, согласен. Безопасность — это не всегда страшные уязвимости, которые позволяют взломать Яндекс. Иногда это просто нарушение какой-то модели.
В случаях, которые вы описали, таких как поиск по сайту ничего страшного, кроме увеличения нагрузки, действительно нет. Но зачем давать возможность выгрузки всего проиндексированного содержимого, если логика поискового запроса подразумевает поиск по каким-то критериям, а не по их отсутствию.
По всем призанакам — это уязвимость обхода логики.
Нет, при проверке не используют. Зато после регистрации открывается множество функционала, где LIKE может присутствовать от какого-нибудь $_SESSION['username']
chrome 180 (после отправки первого запроса без кук их станет уже 150)
safari ~2800/LEN(cookie_name+cookie_val)
opera 60
firefox 149
iexplore 49
Если вопрос в том, что указывать в домене — то ответ простой:
«domain.com», без ведущей точки впереди.
attribute as if the Domain attribute were present and contained
the current host name. For example, if example.com returns a Set-
Cookie header without a Domain attribute, these user agents will
erroneously send the cookie to www.example.com as well»
Чаще всего, это действительно поиск.
Из моей практики, в корпоративном приложении из $_SESSION['email'] вырезался домен и выводились пользователи, которые с авторизованным пользователем в одной домене.
Таким образом, email вида vasya@%%%%%%% давал нам возможность вывести весь список пользователей системы, а не только разрешенных — своего домена.
По всем призанакам — это уязвимость обхода логики.