|
|
|||||
Регистрация: Sep 2009
Сообщений: 11
|
Запрс к серверу без куков.
Доброго времени суток!
Меня интересует теоретический вопрос. Скажем у меня есть флеш приложение загруженное на домен www.ххх.ru могу ли я отправить ПОСТ(форму) запрос к www.ххх.ru не отправляя кукисов хранящихся в браузере? То есть, например, я нахожусь в сессии на этом сайте, но мне нужно, что бы сервер принял запрос как от гостя но с того же IP. Спасибо за внимание Добавлено через 5 минут Еще вариант удалить куки прямо из флеш - возможно? |
|
|||||
Регистрация: Aug 2008
Сообщений: 258
|
удалите куки перед отправкой, (на стороне сервера)
Добавлено через 2 минуты а Вам зачем?.. почему бы не построить логику программы так, что бы просто не смотреть на куки? |
|
|||||
Регистрация: Sep 2009
Сообщений: 11
|
Теоретически есть уязвимость на одном портале, вот я и думаю говорить об этом админу или нет, вот в чем суть:
Работает система автобана. Если зайти под тем же аккаунтом что и в бане, получишь бан по IP На сервер можно загружать файлы, судя по всему и флеш. В страницы можно встраивать тэг эмбэда с флешем даже с удаленного ресурса. Форма логина на сайте состоит из двух полей логин и пас, без спрятанного поля с ключом. То есть если передать логин и пароль забаного аккаунта то посетитель автоматически попадает в бан - пол беды. Нельзя залогинится если ты уже в сессии. Но, что если через флеш выйти, или сделать вид, что ты не в ней и отправить форму логина(на плохой акк_ - то любой пользователь сможет через флеш попасть в бан. Такой флеш файл можно разместить невидимым, например, в новостях портала. Хочу выяснить степень риска. Последний раз редактировалось OFQ; 08.01.2011 в 18:51. |
|
|||||
Регистрация: Aug 2008
Сообщений: 258
|
первое что в голову пришло, можно методом GET сделать LOGOUT .. там же есть какая-то страница выхода. А потом сразу попробовать войти.
|
|
|||||
Регистрация: Sep 2009
Сообщений: 11
|
Создатель сайта параноик, у него выход через пост
То есть просто удалить куки из браузера через флеш нельзя? А можно создавать куки? То есть переполнить лимит для этого домена, что бы удалить созданные ранее? |
|
|||||
Регистрация: Dec 2009
Сообщений: 428
|
Какое гнусное коварство ))
А что Вам мешает отправить через POST logout? Еще вариант - попытаться вызвать через ExternalInterface безымянную JS функцию, которая удалит куку у юзера.. Только флешка должна лежать на портале Вообще браузеры трепетно относятся к кукам, они примут куку в том случае, если домен, который выдает куку, соответствует домену, в куке указанной (ну и + там ограничение по кол-ву точек в домене)
__________________
Скажи мне кто твой друг и я скажу тебе кто твой друг |
|
|||||
Регистрация: Sep 2009
Сообщений: 11
|
Там этот помешанный админ генерит ключ уникальный для сессии и передает его при каждом ПОСТ запросе, что бы убедится в подлинности ПОСТ. Его нужно или как-то прочитать из окружения или найти другой выход.
Если можно удалять через ExternalInterface куки то я считай взял его, простите, за яйца. Буду копать в этом направлении - спасибо Последний раз редактировалось OFQ; 10.01.2011 в 14:21. |
Часовой пояс GMT +4, время: 13:25. |
|
« Предыдущая тема | Следующая тема » |
Опции темы | |
Опции просмотра | |
|
|