Új hozzászólás Aktív témák
-
Dj Faustus
csendes tag
Néhány dolgot szögezzünk le:
1. A sérülékenység nem cross-domain - azaz nem szerezhető meg más oldalon levő jelszó+felhasználónév (például egy Freewebes jelszó+felhasználónév nem szerezhető meg egy külső - például Ultrawebes - oldalról).
2. A sérülékenység csak 1 felhasználó esetén működik. Ha több felhasználó használja ugyanazzal a böngészővel (mely megjegyzi a jelszavakat), ugyanarról a gépről az adott oldalhoz való bejelentkező űrlapot, akkor a rejtett űrlap nem kap információkat.
3. Az adott oldalnak''HTML-sérülékenységgel'' kell rendelkeznie - azaz bejelentkezés után szerkeszthető oldalnak kell lennie (myspace.com vagy hasonló portálszerkesztő oldalacskák - amelyekre komoly oldalt nem szokás építeni); vagy az űrlapon keresztül küldött adatok tartalmazhassanak HTML kódokat (az meg már eleve rossz, elég egy <style type=''text/css''>*, body, html{display:none; visibility:hidden;}</style>).
4. ''ha egy kis ajaxxal fel van turbózva az oldal, akkor még csak az sem kell, h a felhesználó elküldje a formot.''
Külső domain elérésekor kapsz egy aranyos hibajelentést: Error: uncaught exception: Permission denied to call method XMLHttpRequest.open
Tehát a ''hiba'' bár necces, de nem súlyos (ezért kapott Less critical minősítést a Secunia-n: [link]).
Új hozzászólás Aktív témák
- Jövedelem
- Rossz üzlet az EV-kölcsönzés
- Milyen videókártyát?
- Milyen egeret válasszak?
- Motorola Moto G24 Power - hol van az erő?
- Elektromos rásegítésű kerékpárok
- Milyen TV-t vegyek?
- Garmin Forerunner 165 - alapozó edzés
- Na, még egyszer, csak ezúttal OnePlus Open néven
- Amazon Kindle
- További aktív témák...
- LG NanoCell 55NANO766QA Halvány píxel csík
- Philips 58PUS8545/12 1 ÉV GARANCIA Játék üzemmód
- Tyű-ha! HP EliteBook 850 G7 Fémházas Szuper Strapabíró Laptop 15,6" -65% i7-10610U 32/512 FHD HUN
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!
- The Last of Us Part I Ps5