logo Homepage
+  NewbieContest
|-+  Divers» Hacking» wordpress et document.cookie
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: wordpress et document.cookie  (Lu 3043 fois)
kenox
Profil challenge

non classé(e).

Néophyte
*
Hors ligne Hors ligne
Messages: 3


Voir le profil
« le: 09 Août 2012 à 09:00:39 »

Bonjour

J'ai créer un wordpress bidon pour faire quelques teste.
Je me connecte en admin et j’essai d'afficher mes cookies, je tape dans le barre d'adresse javascript:alert(document.cookie) et la je récupère pas tout les cookies.

J'ai pas mon cookie ex :

admin%5Q1344673460%9F4eb5679099a67393jjOfa5c319456a6z

J'ai quelque chose comme cela :

wordpress_test_cookie=WP+Cookie+check; wp-settings-time-1=8904431548; popunder=yes; popundr=yes; setover18=1


Journalisée
kenox
Profil challenge

non classé(e).

Néophyte
*
Hors ligne Hors ligne
Messages: 3


Voir le profil
« #1 le: 09 Août 2012 à 15:17:14 »

J'ai finalement trouvé la réponse à ma question cela vient des cookies httponly.

J'aimerai bien savoir si les failles XSS sont toujours aussi dangereuse que avant si ont ne peut plus récupérer les cookies ?
Que peut t’ont faire avec une faille XSS ?
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 157/49528

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3026

poulping for fun & profit


Voir le profil WWW
« #2 le: 09 Août 2012 à 15:47:52 »

Une faille XSS, ça peut aller assez loin. Tout dépend du type (persistant ou non), de l'implémentation que tu en fais, et (selon le type de XSS), de la crédulité de ta cible.

Pour le httponly, je n'ai jamais testé, mais il y a apparemment des techniques pour les récupérer. (Google, ami, tout ça tout ça)

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
kenox
Profil challenge

non classé(e).

Néophyte
*
Hors ligne Hors ligne
Messages: 3


Voir le profil
« #3 le: 09 Août 2012 à 16:12:59 »

Moi je parle dans le cas d'une faille xss non-permanent ?
Personne aurait des liens récent pour les httponly car google il sort pas mal de truc mais souvent plus d'époque.
Journalisée
leandre

Profil challenge

Classement : 3516/49528

Néophyte
*
Hors ligne Hors ligne
Messages: 2

the new hacke


Voir le profil WWW
« #4 le: 04 Septembre 2013 à 14:49:45 »

super
Journalisée

hacke
the lsd
Administrateur

Profil challenge

Classement : 157/49528

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3026

poulping for fun & profit


Voir le profil WWW
« #5 le: 04 Septembre 2013 à 16:35:20 »

:'( Up d'un post vieux de 13 mois, juste pour dire "super". J'vais encore passer pour le chieur de service, mais ça n'a aucun sens.
Moi qui espérait tellement des liens pour bypasser le httponly

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Pages: [1]
  Imprimer  
 
Aller à: