banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Thắc mắc 1 số vấn đề về cookie  XML
  [Question]   Thắc mắc 1 số vấn đề về cookie 30/06/2010 09:07:50 (+0700) | #1 | 214289
phuoctrung
Member

[Minus]    0    [Plus]
Joined: 22/03/2009 19:51:42
Messages: 88
Location: Vietnamese
Offline
[Profile] [PM] [Email] [Yahoo!]
Em lướt web thì thấy 1 số bài viết hướng dẫn lấy IP của victim chỉ cần file txt và .php (up lên host và gửi cho victim)là đã có IP của victim. Vậy, ta có thể áp dụng cách này để lấy cookies ko? Nếu có các bác demo cho em với. Và cách phòng chống nó như thé nào? Các bác giúp em
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 01/07/2010 19:15:58 (+0700) | #2 | 214419
daigiaIQ_Y2.1K
Member

[Minus]    0    [Plus]
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
[Profile] [PM]
Cách này xưa như diễm rồi bạn ơi , giờ ai còn sử dụng cách này nửa đâu
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 02/07/2010 06:00:16 (+0700) | #3 | 214447
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

phuoctrung wrote:
Em lướt web thì thấy 1 số bài viết hướng dẫn lấy IP của victim chỉ cần file txt và .php (up lên host và gửi cho victim)là đã có IP của victim. Vậy, ta có thể áp dụng cách này để lấy cookies ko? Nếu có các bác demo cho em với. Và cách phòng chống nó như thé nào? Các bác giúp em 


Tham khảo cái này: http://www.owasp.org/index.php/XSS

Cách phòng chống: đừng bấm trên đường link nào đó trong khi mình đang login một account. Nên copy đường link và dán nó lên một trình duyệt khác.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 02/07/2010 08:41:45 (+0700) | #4 | 214467
phuoctrung
Member

[Minus]    0    [Plus]
Joined: 22/03/2009 19:51:42
Messages: 88
Location: Vietnamese
Offline
[Profile] [PM] [Email] [Yahoo!]

daigiaIQ_Y2.1K wrote:
Cách này xưa như diễm rồi bạn ơi , giờ ai còn sử dụng cách này nửa đâu 

Em có làm gì đâu mà bác nói vậy?Chà! nếu nói vậy thì bác hãy nêu cách mới đi
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 02/07/2010 08:57:51 (+0700) | #5 | 214471
phuoctrung
Member

[Minus]    0    [Plus]
Joined: 22/03/2009 19:51:42
Messages: 88
Location: Vietnamese
Offline
[Profile] [PM] [Email] [Yahoo!]
theo cách bác conmale thì em vẫn bị mất acc. Thế mới chết.
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 02/07/2010 09:24:09 (+0700) | #6 | 214483
[Avatar]
Ky0shir0
Member

[Minus]    0    [Plus]
Joined: 20/08/2008 19:06:44
Messages: 298
Offline
[Profile] [PM]

phuoctrung wrote:
Em lướt web thì thấy 1 số bài viết hướng dẫn lấy IP của victim chỉ cần file txt và .php (up lên host và gửi cho victim)là đã có IP của victim. Vậy, ta có thể áp dụng cách này để lấy cookies ko? Nếu có các bác demo cho em với. Và cách phòng chống nó như thé nào? Các bác giúp em 

Bạn muốn biết cách lấy được cookies trên máy người khác hay muốn không bị lấy mất account?
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 02/07/2010 09:37:27 (+0700) | #7 | 214489
phuoctrung
Member

[Minus]    0    [Plus]
Joined: 22/03/2009 19:51:42
Messages: 88
Location: Vietnamese
Offline
[Profile] [PM] [Email] [Yahoo!]

Ky0shir0 wrote:

phuoctrung wrote:
Em lướt web thì thấy 1 số bài viết hướng dẫn lấy IP của victim chỉ cần file txt và .php (up lên host và gửi cho victim)là đã có IP của victim. Vậy, ta có thể áp dụng cách này để lấy cookies ko? Nếu có các bác demo cho em với. Và cách phòng chống nó như thé nào? Các bác giúp em 

Bạn muốn biết cách lấy được cookies trên máy người khác hay muốn không bị lấy mất account? 

cả 2 bạn àh! Biết để phòng chống
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 02/07/2010 10:18:29 (+0700) | #8 | 214496
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

phuoctrung wrote:
theo cách bác conmale thì em vẫn bị mất acc. Thế mới chết.  


Theo "cách" của tôi là cách nào vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 04/07/2010 08:26:17 (+0700) | #9 | 214604
phuoctrung
Member

[Minus]    0    [Plus]
Joined: 22/03/2009 19:51:42
Messages: 88
Location: Vietnamese
Offline
[Profile] [PM] [Email] [Yahoo!]

conmale wrote:

Theo "cách" của tôi là cách nào vậy? 

Cách phòng chống: đừng bấm trên đường link nào đó trong khi mình đang login một account. Nên copy đường link và dán nó lên một trình duyệt khác.
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 06/07/2010 01:57:56 (+0700) | #10 | 214730
totden
Member

[Minus]    0    [Plus]
Joined: 07/10/2008 02:37:47
Messages: 17
Offline
[Profile] [PM]
Ý bác conmale là nếu trang mà bạn đã login bị dính lỗi XSS thì người ta có thể khai thác để lấy cookie của bạn (đúng ko nhỉ? smilie )
Bạn có thể tìm hiểu về XSS trên link của bác conmale
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 06/07/2010 06:29:42 (+0700) | #11 | 214737
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

phuoctrung wrote:

conmale wrote:

Theo "cách" của tôi là cách nào vậy? 

Cách phòng chống: đừng bấm trên đường link nào đó trong khi mình đang login một account. Nên copy đường link và dán nó lên một trình duyệt khác. 


Nếu bồ bị XSS và bị chôm cookie + session trên trình duyệt trong khi bồ đã dùng trình duyệt ấy để đăng nhập vô đâu đó ---> bồ sẽ bị mất account.

Nếu kẻ muốn tấn công bồ để chôm cookie + session của bồ bằng cách dụ khị bồ truy cập một địa chỉ nào đó nhưng bồ không "bấm" trực tiếp vào đường dẫn ấy mà bồ copy địa chỉ và dán nó vô một trình duyệt khác. Trình duyệt khác ấy hoàn toàn trống rỗng và chẳng có chứa thông tin gì về cookie hay session gì hết ----> ý định chôm cookie + session xuyên qua XSS hoàn toàn thất bại ---> bồ chẳng bị mất cái gì hết.

Bởi vậy, bồ nói là bồ "vẫn bị mất" thì tôi không rõ bồ bị mất cái gì.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 06/07/2010 06:44:10 (+0700) | #12 | 214739
phuoctrung
Member

[Minus]    0    [Plus]
Joined: 22/03/2009 19:51:42
Messages: 88
Location: Vietnamese
Offline
[Profile] [PM] [Email] [Yahoo!]

conmale wrote:

phuoctrung wrote:
Em lướt web thì thấy 1 số bài viết hướng dẫn lấy IP của victim chỉ cần file txt và .php (up lên host và gửi cho victim)là đã có IP của victim. Vậy, ta có thể áp dụng cách này để lấy cookies ko? Nếu có các bác demo cho em với. Và cách phòng chống nó như thé nào? Các bác giúp em 


Tham khảo cái này: http://www.owasp.org/index.php/XSS

Cách phòng chống: đừng bấm trên đường link nào đó trong khi mình đang login một account. Nên copy đường link và dán nó lên một trình duyệt khác. 

http://www.owasp.org/index.php/XSS-----> Áp dụng trong các forum bị lỗi mới lấy đc cookie.
còn vấn đề của em là: attacker gửi link cho em, em double click đó ----mất acc.
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 06/07/2010 06:45:23 (+0700) | #13 | 214740
phuoctrung
Member

[Minus]    0    [Plus]
Joined: 22/03/2009 19:51:42
Messages: 88
Location: Vietnamese
Offline
[Profile] [PM] [Email] [Yahoo!]

conmale wrote:

phuoctrung wrote:

conmale wrote:

Theo "cách" của tôi là cách nào vậy? 

Cách phòng chống: đừng bấm trên đường link nào đó trong khi mình đang login một account. Nên copy đường link và dán nó lên một trình duyệt khác. 


Nếu bồ bị XSS và bị chôm cookie + session trên trình duyệt trong khi bồ đã dùng trình duyệt ấy để đăng nhập vô đâu đó ---> bồ sẽ bị mất account.

Nếu kẻ muốn tấn công bồ để chôm cookie + session của bồ bằng cách dụ khị bồ truy cập một địa chỉ nào đó nhưng bồ không "bấm" trực tiếp vào đường dẫn ấy mà bồ copy địa chỉ và dán nó vô một trình duyệt khác. Trình duyệt khác ấy hoàn toàn trống rỗng và chẳng có chứa thông tin gì về cookie hay session gì hết ----> ý định chôm cookie + session xuyên qua XSS hoàn toàn thất bại ---> bồ chẳng bị mất cái gì hết.

Bởi vậy, bồ nói là bồ "vẫn bị mất" thì tôi không rõ bồ bị mất cái gì. 

Nếu mình xoá cookies trên trình duyệt đó thì vẫn không mất acc chứ bác conmale
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 06/07/2010 08:14:10 (+0700) | #14 | 214751
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

phuoctrung wrote:

conmale wrote:

phuoctrung wrote:
Em lướt web thì thấy 1 số bài viết hướng dẫn lấy IP của victim chỉ cần file txt và .php (up lên host và gửi cho victim)là đã có IP của victim. Vậy, ta có thể áp dụng cách này để lấy cookies ko? Nếu có các bác demo cho em với. Và cách phòng chống nó như thé nào? Các bác giúp em 


Tham khảo cái này: http://www.owasp.org/index.php/XSS

Cách phòng chống: đừng bấm trên đường link nào đó trong khi mình đang login một account. Nên copy đường link và dán nó lên một trình duyệt khác. 

http://www.owasp.org/index.php/XSS-----> Áp dụng trong các forum bị lỗi mới lấy đc cookie.
còn vấn đề của em là: attacker gửi link cho em, em double click đó ----mất acc



----> nếu bồ không click lên link ấy mà làm theo "cách" của tôi thì làm sao mà mất được acc? Nên đọc cho thật kỹ phản hồi của người khác để hiểu rõ họ trả lời cái gì thay vì trả lời mà không có suy nghĩ.

Nếu mình xoá cookies trên trình duyệt đó thì vẫn không mất acc chứ bác conmale 

Nếu bồ xoá cookie nhưng trình duyệt vẫn đang hoạt động và session truy cập đến trang nào đó vẫn còn hiệu lực thì cơ hội bị mất session vẫn có. Bởi thế, cách an toàn nhất là copy địa chỉ và dán nó vào một trình duyệt khác (ví dụ như bồ đang dùng Firefox, bồ mở thêm trình duyệt Internet Explorer hay Opera hay Google Chrome ra để dán địa chỉ ấy vô thì trên trình duyệt ấy chẳng có session và cũng chẳng có cookie nào có giá trị đối với trang bồ đang đăng nhập hết).

PS: nên tập thói quen đọc và suy ngẫm cho kỹ trước khi trả lời tiếp.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 06/07/2010 08:47:41 (+0700) | #15 | 214757
tuewru
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 04:17:26
Messages: 126
Offline
[Profile] [PM]

phuoctrung wrote:

conmale wrote:

phuoctrung wrote:
Em lướt web thì thấy 1 số bài viết hướng dẫn lấy IP của victim chỉ cần file txt và .php (up lên host và gửi cho victim)là đã có IP của victim. Vậy, ta có thể áp dụng cách này để lấy cookies ko? Nếu có các bác demo cho em với. Và cách phòng chống nó như thé nào? Các bác giúp em 


Tham khảo cái này: http://www.owasp.org/index.php/XSS

Cách phòng chống: đừng bấm trên đường link nào đó trong khi mình đang login một account. Nên copy đường link và dán nó lên một trình duyệt khác. 

http://www.owasp.org/index.php/XSS-----> Áp dụng trong các forum bị lỗi mới lấy đc cookie.
còn vấn đề của em là: attacker gửi link cho em, em double click đó ----mất acc. 


Đọc mấy reply của bạn này cho anh conmale phải mình thì mình cũng bực nổ mắt, nhưng phải công nhận anh conmale kiên nhẫn thật

Bạn chưa tìm hiểu cụ thể xem XSS ( Cross Site Scripting) nó ảnh hưởng như thế nào với Client như thế nào hay sao vậy ?

Website đó bị lỗi XSS , attacker gửi link (1 đoạn malicious script) bạn click vào thì việc mất acc là điều dễ hiểu thôi có gì đâu ?

Countermeasure hay "cách" của anh conmale đưa ra là khá hữu hiệu rồi
[Up] [Print Copy]
  [Question]   Thắc mắc 1 số vấn đề về cookie 30/07/2010 15:16:33 (+0700) | #16 | 216924
huyannet
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
[Profile] [PM]
Nếu đã làm theo cách của bác conmale mà bạn vẫn bị mất password thì bạn đã bị nhiễm keylog hoặc trojan chứ không phải lỗi từ website.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|