Új hozzászólás Aktív témák

• #20 Dj Faustus csendes tag

  Új Válasz 2006-11-26 15:16:49 #20

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Dj Faustus

  csendes tag

  Néhány dolgot szögezzünk le:
  1. A sérülékenység nem cross-domain - azaz nem szerezhető meg más oldalon levő jelszó+felhasználónév (például egy Freewebes jelszó+felhasználónév nem szerezhető meg egy külső - például Ultrawebes - oldalról).
  2. A sérülékenység csak 1 felhasználó esetén működik. Ha több felhasználó használja ugyanazzal a böngészővel (mely megjegyzi a jelszavakat), ugyanarról a gépről az adott oldalhoz való bejelentkező űrlapot, akkor a rejtett űrlap nem kap információkat.
  3. Az adott oldalnak''HTML-sérülékenységgel'' kell rendelkeznie - azaz bejelentkezés után szerkeszthető oldalnak kell lennie (myspace.com vagy hasonló portálszerkesztő oldalacskák - amelyekre komoly oldalt nem szokás építeni); vagy az űrlapon keresztül küldött adatok tartalmazhassanak HTML kódokat (az meg már eleve rossz, elég egy <style type=''text/css''>*, body, html{display:none; visibility:hidden;}</style>).
  4. ''ha egy kis ajaxxal fel van turbózva az oldal, akkor még csak az sem kell, h a felhesználó elküldje a formot.''
  Külső domain elérésekor kapsz egy aranyos hibajelentést: Error: uncaught exception: Permission denied to call method XMLHttpRequest.open
  
  Tehát a ''hiba'' bár necces, de nem súlyos (ezért kapott Less critical minősítést a Secunia-n: [link]).

Új hozzászólás Aktív témák