|
Titre: wordpress et document.cookie Posté par: kenox le 09 Août 2012 à 09:00:39 Bonjour
J'ai créer un wordpress bidon pour faire quelques teste. Je me connecte en admin et j’essai d'afficher mes cookies, je tape dans le barre d'adresse javascript:alert(document.cookie) et la je récupère pas tout les cookies. J'ai pas mon cookie ex : admin%5Q1344673460%9F4eb5679099a67393jjOfa5c319456a6z J'ai quelque chose comme cela : wordpress_test_cookie=WP+Cookie+check; wp-settings-time-1=8904431548; popunder=yes; popundr=yes; setover18=1 Titre: Re : wordpress et document.cookie Posté par: kenox le 09 Août 2012 à 15:17:14 J'ai finalement trouvé la réponse à ma question cela vient des cookies httponly.
J'aimerai bien savoir si les failles XSS sont toujours aussi dangereuse que avant si ont ne peut plus récupérer les cookies ? Que peut t’ont faire avec une faille XSS ? Titre: Re : wordpress et document.cookie Posté par: the lsd le 09 Août 2012 à 15:47:52 Une faille XSS, ça peut aller assez loin. Tout dépend du type (persistant ou non), de l'implémentation que tu en fais, et (selon le type de XSS), de la crédulité de ta cible.
Pour le httponly, je n'ai jamais testé, mais il y a apparemment des techniques pour les récupérer. (Google, ami, tout ça tout ça) Enjoy The lsd Titre: Re : wordpress et document.cookie Posté par: kenox le 09 Août 2012 à 16:12:59 Moi je parle dans le cas d'une faille xss non-permanent ?
Personne aurait des liens récent pour les httponly car google il sort pas mal de truc mais souvent plus d'époque. Titre: Re : wordpress et document.cookie Posté par: leandre le 04 Septembre 2013 à 14:49:45 super
Titre: Re : wordpress et document.cookie Posté par: the lsd le 04 Septembre 2013 à 16:35:20 :'( Up d'un post vieux de 13 mois, juste pour dire "super". J'vais encore passer pour le chieur de service, mais ça n'a aucun sens.
Moi qui espérait tellement des liens pour bypasser le httponly :) Enjoy The lsd |