Форум Flasher.ru
Ближайшие курсы в Школе RealTime
Список интенсивных курсов: [см.]  
  
Специальные предложения: [см.]  
  
 
Блоги Правила Справка Пользователи Календарь Поиск рулит! Сообщения за день Все разделы прочитаны
 

Вернуться   Форум Flasher.ru > Flash > Серверные технологии и Flash

Версия для печати  Отправить по электронной почте    « Предыдущая тема | Следующая тема »  
Опции темы Опции просмотра
 
Создать новую тему Ответ
Старый 08.01.2011, 18:22
OFQ вне форума Посмотреть профиль Отправить личное сообщение для OFQ Найти все сообщения от OFQ
  № 1  
Ответить с цитированием
OFQ

Регистрация: Sep 2009
Сообщений: 11
По умолчанию Запрс к серверу без куков.

Доброго времени суток!

Меня интересует теоретический вопрос.
Скажем у меня есть флеш приложение загруженное на домен www.ххх.ru могу ли я отправить ПОСТ(форму) запрос к www.ххх.ru не отправляя кукисов хранящихся в браузере? То есть, например, я нахожусь в сессии на этом сайте, но мне нужно, что бы сервер принял запрос как от гостя но с того же IP.
Спасибо за внимание

Добавлено через 5 минут
Еще вариант удалить куки прямо из флеш - возможно?

Старый 08.01.2011, 18:31
membrilius вне форума Посмотреть профиль Отправить личное сообщение для membrilius Найти все сообщения от membrilius
  № 2  
Ответить с цитированием
membrilius
 
Аватар для membrilius

Регистрация: Aug 2008
Сообщений: 258
удалите куки перед отправкой, (на стороне сервера)

Добавлено через 2 минуты
а Вам зачем?.. почему бы не построить логику программы так, что бы просто не смотреть на куки?

Старый 08.01.2011, 18:45
OFQ вне форума Посмотреть профиль Отправить личное сообщение для OFQ Найти все сообщения от OFQ
  № 3  
Ответить с цитированием
OFQ

Регистрация: Sep 2009
Сообщений: 11
Теоретически есть уязвимость на одном портале, вот я и думаю говорить об этом админу или нет, вот в чем суть:
Работает система автобана. Если зайти под тем же аккаунтом что и в бане, получишь бан по IP
На сервер можно загружать файлы, судя по всему и флеш.
В страницы можно встраивать тэг эмбэда с флешем даже с удаленного ресурса.
Форма логина на сайте состоит из двух полей логин и пас, без спрятанного поля с ключом.
То есть если передать логин и пароль забаного аккаунта то посетитель автоматически попадает в бан - пол беды.
Нельзя залогинится если ты уже в сессии. Но, что если через флеш выйти, или сделать вид, что ты не в ней и отправить форму логина(на плохой акк_ - то любой пользователь сможет через флеш попасть в бан. Такой флеш файл можно разместить невидимым, например, в новостях портала.

Хочу выяснить степень риска.


Последний раз редактировалось OFQ; 08.01.2011 в 18:51.
Старый 08.01.2011, 18:58
membrilius вне форума Посмотреть профиль Отправить личное сообщение для membrilius Найти все сообщения от membrilius
  № 4  
Ответить с цитированием
membrilius
 
Аватар для membrilius

Регистрация: Aug 2008
Сообщений: 258
первое что в голову пришло, можно методом GET сделать LOGOUT .. там же есть какая-то страница выхода. А потом сразу попробовать войти.

Старый 08.01.2011, 19:16
OFQ вне форума Посмотреть профиль Отправить личное сообщение для OFQ Найти все сообщения от OFQ
  № 5  
Ответить с цитированием
OFQ

Регистрация: Sep 2009
Сообщений: 11
Создатель сайта параноик, у него выход через пост

То есть просто удалить куки из браузера через флеш нельзя? А можно создавать куки? То есть переполнить лимит для этого домена, что бы удалить созданные ранее?

Старый 09.01.2011, 15:26
leofit вне форума Посмотреть профиль Отправить личное сообщение для leofit Найти все сообщения от leofit
  № 6  
Ответить с цитированием
leofit
 
Аватар для leofit

Регистрация: Dec 2009
Сообщений: 428
Какое гнусное коварство ))
А что Вам мешает отправить через POST logout?
Еще вариант - попытаться вызвать через ExternalInterface безымянную JS функцию, которая удалит куку у юзера.. Только флешка должна лежать на портале

Вообще браузеры трепетно относятся к кукам, они примут куку в том случае, если домен, который выдает куку, соответствует домену, в куке указанной (ну и + там ограничение по кол-ву точек в домене)
__________________
Скажи мне кто твой друг и я скажу тебе кто твой друг

Старый 09.01.2011, 18:54
OFQ вне форума Посмотреть профиль Отправить личное сообщение для OFQ Найти все сообщения от OFQ
  № 7  
Ответить с цитированием
OFQ

Регистрация: Sep 2009
Сообщений: 11
Там этот помешанный админ генерит ключ уникальный для сессии и передает его при каждом ПОСТ запросе, что бы убедится в подлинности ПОСТ. Его нужно или как-то прочитать из окружения или найти другой выход.
Если можно удалять через ExternalInterface куки то я считай взял его, простите, за яйца. Буду копать в этом направлении - спасибо


Последний раз редактировалось OFQ; 10.01.2011 в 14:21.
Создать новую тему Ответ Часовой пояс GMT +4, время: 13:25.
Быстрый переход
  « Предыдущая тема | Следующая тема »  
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


 


Часовой пояс GMT +4, время: 13:25.


Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.