Aktywne Wpisy
nutsheell +17
Co mam zrobić, jak chce wziąć ślub, a nie mam świadków?
Świadomie z niebieskim izolujemy się od ludzi i nie mamy żadnych znajomych. Już jeden termin nam przepadł bo nie mieliśmy świadków, USC mówił że absolutnie nie ma opcji żeby urzędnicy nimi byli
Pisałam na lokalnych grupach, że szukam świadka na ślub, płacę 200zł każdemu bo to przecież 15 minut roboty to były same heheszki
Co za gówniany archaiczny przepis o świadkach
Świadomie z niebieskim izolujemy się od ludzi i nie mamy żadnych znajomych. Już jeden termin nam przepadł bo nie mieliśmy świadków, USC mówił że absolutnie nie ma opcji żeby urzędnicy nimi byli
Pisałam na lokalnych grupach, że szukam świadka na ślub, płacę 200zł każdemu bo to przecież 15 minut roboty to były same heheszki
Co za gówniany archaiczny przepis o świadkach
odgrzybiacz +32
Aktywne Znaleziska
Twój kod odwołuje się do skryptu #js
">Ciężko znaleźć tu błąd. Chyba, że wczytamy się w instrukcję.
Dawno temu nie każda przeglądarka obsługiwała ciasteczka.
Serwisy chciały jednak w jakiś sposób zapamiętywać stan sesji użytkownika.
Wymyślono więc, że informacje na ten temat będą przekazywane w adresie URL.
Adres:
http://example.com/aplikacja/home.aspx
Zamieniano na:
http://example.com/aplikacja/(A(XXXX)S(XXXX)F(XXXX))/home.aspx
W miejscu
XXXXaplikacja automatycznie doklejała identyfikator sesji.Dziś mało kto korzysta z tej opcji – ale ona dalej istnieje.
Paweł Hałdrzyński (autor badań) postanowił sprawdzić jakie znaki może zawierać identyfikator sesji – czyli co można użyć w miejscu
XXXX..NET zwraca błąd 400 dla nieprawidłowych znaków – między innymi >, <, ?, %, $, ).
Nie zwraca jednak błędu dla spacji oraz dla ` i ".
A to może prowadzić do błędów XSS. Dlaczego? Spójrz na przykład z góry.
W miejsce ResolveUrl wstawiamy złośliwe dane przekazane przez użytkownika:
`
[http://example.com/aplikacja/(S(](http://example.com/aplikacja/(S() onerror=alert1))/home.aspxTaki adres zostanie wyświetlony jako:
src="/(S(" onerror=alert1`Czyli przeglądarka spróbuje pobrać obrazek
/(S(. Jeżeli go nie znajdzie - wykona eventonerror- czyli wyświetli okienkoalert.Zobacz film na YouTube.
Chcesz otrzymywać takie materiały na swój email? Dołącz do newslettera.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Subskrybuj kanał na YouTube
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
#gruparatowaniapoziomu #ciekawostki #informatyka #security #programowanie #programista15k #javascript #dotnet #csharp #aspnet #webdev
Możesz zapisać/wypisać się klikając na nazwę listy.
Komentarz usunięty przez autora