Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 15
А пазл с раздеванием девушки уже не поюзать?
Ализар такой ализар:
Даже учитывая то, что есть способ узнать локальное имя пользователя и ОС,
то далеко не всё, а только те, для которых мы можем угадать пару юзернейм_на_сайте+сайт.
И для каждой такой куки надо заставить пользователя провести идиотские действия.
позволяющий скопировать все кукисы с компьютера пользователя.
Даже учитывая то, что есть способ узнать локальное имя пользователя и ОС,
то далеко не всё, а только те, для которых мы можем угадать пару юзернейм_на_сайте+сайт.
И для каждой такой куки надо заставить пользователя провести идиотские действия.
Не очень подходит для атаки на неизвестного пользователя. Но для атаки на конкретную жертву вполне. И тем успешнее, чем лучше атакующий знает жертву.
не совсем. Надо угадать юзернейм на компьютере, а не на сайте, т.к. все воровство происходит через iframe src=«имя_локального_файла_куки_на_компьютере_жертвы»
т.е. надо угадать где у пользователядевки визж.... куки лежат.
Но это тоже не сложно если инициировать NTLM-handshake — в одном из пакетов ослик сам сообщит имя пользователя… А дальше надо скопировать содержимое злобного «ифрейма» и перетащить, т.е. по сути — выделить текст и дропнуть его на другой контрол. В статье (которая, блин, уже заблокирована гуглом) автор рассказывает что он использовал авто скроллящийся iframe и таким образом помогал пользователю «выбрать» весь текст… попробую выкопать оригинал статьи, утром прочитал и сохранил только ссылку, а надо было бы весь контент…
т.е. надо угадать где у пользователя
Но это тоже не сложно если инициировать NTLM-handshake — в одном из пакетов ослик сам сообщит имя пользователя… А дальше надо скопировать содержимое злобного «ифрейма» и перетащить, т.е. по сути — выделить текст и дропнуть его на другой контрол. В статье (которая, блин, уже заблокирована гуглом) автор рассказывает что он использовал авто скроллящийся iframe и таким образом помогал пользователю «выбрать» весь текст… попробую выкопать оригинал статьи, утром прочитал и сохранил только ссылку, а надо было бы весь контент…
«Пока на свете существуют дураки, обманом жить нам стало быть с руки…» ©
А вообще забавно. Как много становится способов заставить сделать человека то, что ты от него ожидаешь.
А вообще забавно. Как много становится способов заставить сделать человека то, что ты от него ожидаешь.
Сперва покупка скайп, теперь вот это...
>>> Microsoft не считает кукиджекинг серьёзной угрозой
А я не считаю Internet Explorer серьезным браузером.
А я не считаю Internet Explorer серьезным браузером.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Microsoft не считает кукиджекинг серьёзной угрозой