Přidat aktualitu mezi oblíbenéZasílat nové komentáře e-mailem Firefox vulnerable - zistujeme uzivatelovu historiu :)

Na zaujimavu chybu upozornil uzivatel menom pdp. Tato chyba umoznuje citat z firefox cachce, ktore stranky uzivatel navstivil. Tato chyba nie je kriticka a je nutne staticky vlozit URL, ktore chceme testovat, cize nie je to az take hrozne. Ale aj tak to nie je moc prijemne. Zakernu stranku som upravil na nase(cz/sk) pomery, nech je to trochu zaujimavejsie. :) Staci si v novej zalozke(nie je potrebne) otvarat stranky ktore testujem a potom urobit refresh testu.Test mozte urobit tusteal_history.htmlOchranaZatial nie je proti tomu ziadna ochrana(okrem vypnutia cache), ale je to uz v bug reporte, tak sa to mozno v dalsej verzii fixne.//------------------------------------------------- ------------------------------------------Enjoy! :)

Předmět Autor Datum
Teda já nevím, ale nějak to nefunguje. Ať dělám, co dělám, tak "visited" se mi zobrazuje jen u porad…
rokator 24.02.2007 18:47
rokator
A byls na těch ostatních? :-)
karel 24.02.2007 19:20
karel
:-[ a to musím? jistě že byl !
rokator 24.02.2007 19:22
rokator
doplněk: tak po několika pokusech, kdy jsem opětovně načítal ty stránky, jsem se dostal do fáze, kdy…
rokator 24.02.2007 19:24
rokator
bude to najskor tym, ze napr. miesto www.zive.cz pises zive.cz a s google naskor pouzivas google.cz,…
IgorK 27.02.2007 20:19
IgorK
Dostať sa k informácií o navštívených stránkach sa dá oveľa jednoduchšie a zároveň to funguje nezávi…
los 24.02.2007 20:05
los
jasne a toto je aj elegantne riesenie. ale nesuvisi s tym, co je podstatou tohoto hacku. cely hack s…
IgorK 27.02.2007 20:23
IgorK
Ten skript, ktorý si dal na otestovanie, zistí iba to, či tam ten záznam je alebo nie. Žiadne ďalšie… poslední
los 27.02.2007 21:50
los

Dostať sa k informácií o navštívených stránkach sa dá oveľa jednoduchšie a zároveň to funguje nezávisle na prehliadači ("útočník" musí tiež dopredu vedieť, o ktoré stránky sa zaujíma).

Stačí naštýlovať navštívený odkaz (a:visited) a JavaScriptom zistiť, či sa štýl použil alebo nie. Funguje tam, kde je podporovaný JavaScript a CSS (prakticky všade).

jasne a toto je aj elegantne riesenie. ale nesuvisi s tym, co je podstatou tohoto hacku. cely hack sa opiera o moznost citat z firefox cache, cize napr. s historiou v tvojom pripade prichadzas o exclusivitu ako je napr. v ktory den si prezeral stranku, co konkretne na stranke blokoval atd. cele sa to opiera hlavne o tento kus kodu:

s.src = 'about:cache-entry?...'

Zpět na aktuality Přidat komentář k aktualitě Nahoru