ANTICHAT — форум по информационной безопасности, OSINT и технологиям

я так же подумал в начале, но ник1201 пишет о снифере, а если он подразумевает под снифером все-таки снифер, а не скрипт с document.cookie, то там будут видны все куки... хотя, фраза ко мне приходят... я запутался

На сайте www.site.ru/forum/forum.php у меня вшит скрипт и с сайта www.site.ru/forum/forum.php мне отправляются чужие куки на мой снифер,и в log.txt у меня хранятся чужие куки вида

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

w2vL_cca8_lastvisit=1437004847;

w2vL_cca8_nofavfid=1;

PHPSESSID=pe5k27v4h6ar1vsn1rc05lamr3;

w2vL_cca8_ulastactivity=e5cfycfnuKcJ%2BGIxyWlITZuc 7NidwNkrv05%2F53l2Qado4EaUbTuI;

w2vL_cca8_lastcheckfeed=21728%7C1437560824;

w2vL_cca8_visitedfid=45D46D53D2;

w2vL_cca8_viewid=tid_6189;

w2vL_cca8_forum_lastvisit=D_2_1437336598D_53_14375 24926D_46_1437525191D_45_1437561663; ==>Это чужие Cookie

w2vL_cca8_smile=1D1;

__zlcmid=Vienkp6pQjrijA;

_ga=GA1.2.956537111.1436906922F;

w2vL_cca8_lastact=1437566946%09forum.php%09;

w2vL_cca8_onlineusernum=59;

w2vL_cca8_sid=ro6N6g

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Мне достаточно в куках подменить 2 строчки для того что бы играть за чужого перса (для подмены куков использую расширение для оперы EditThisCookie) на www.site.ru

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

1)PHPSESSID=pe5k27v4h6ar1vsn1rc05lamr3

2)_ga=GA1.2.956537111.1436906922F

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

А на форуме (www.site.ru/forum/forum.php) у меня не получается подменить куки,даже если я меняю все строчки.

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Для проверки я зашел на форум под своим логином и при помощи расширения EditThisCookie посмотрел как выглядят свои куки,и там были еще строчки котрые снифер не ловит

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

w2vL_cca8_auth

w2vL_cca8_saltkey

Все я понял,для авторизации на форуме нужны 2 строчки вот эти

w2vL_cca8_auth

w2vL_cca8_saltkey

но почему то снифер их не ловит,в чем может быть проблема?

посмотрите какие флаги установлены для этих кук

yarbabin выкладывал ссылку, https://www.owasp.org/index.php/OWAS...le_of_Contents

На куках w2vL_cca8_auth установлено "session" и "httpOnly" а на w2vL_cca8_saltkey "httpOnly"

для JS они недоступны, только для сервера. в этом все и дело. придумывайте другой вектор атаки

А обойти можно httponly?

на некоторых версиях apache можно: http://www.securityfocus.com/bid/51706/exploit