"Опасные" куки. Что собственно этот такое? Я тупой или что? Как они могут быть опасными? Настройки? Даже псевдонастройки... Везде от них все защищаются.. что за **? Где о этом можно прочитать? Гугл выдал только какие файрволы и в каких настройках от них защищают.. Тебе могут подсунуть чужие куки? И что в этом опасного? Вход под другим пользователем? Они же не забирают у тебя куки, а наоборот устанавливают... Что они могут такое установить? Тем более на свой сайт! Или можно как-то на чужой сайт установить.. Но все равно не вижу смысла это делать кроме как сбить сессию... В общем не вьеду, пожалуйста подтолкните. (Что такое куки, до этого я думал, что знаю... Опасные как-то связаны с XSS? - тут вот не разбираюсь.. точне дальше определения и простеших примеров <alarm>)
Nfm Читать он умеет =) И в правду касперский удоляет некоторые куки с компа. Коментарий: эти куки могут навредить вашему компьютеру или украсть личные данные (давно я кстати такого сообщения не видел)
Только это накопал. Ну у меня почему то сразу об этом мысли появились. Но самое интересное, что куки в правах ограничены и по идее своей не могут быть исполняемыми файлами. Они являются только носителями информации, не более. А если на оборот, есть способ поднять свои права и сделать их исполняемыми или получить доступ используя их. Интересно посмотреть сплоит ссылка: http://securityvulns.ru/news1698.html P/s Интереный ты вопрос задвинул, даже я в раздумия пал )).Если что то накопаешь , выложи плиииз, очень интересно.
Спс за ответы Кое-что нашел, но это, похоже со слов других админов, не будет работать. Только мне не понятно в БД жертвы??? (пользователя? админа, кот сидит на сервере? сервера?).. не важно.. Суть в том что это хотя и не заработает, но при других бы условиях могло... Хм.. Точно! Если пользователю подсунуть "свои" куки волшебным образом сформированые, сдержащие php/sql inj/xss <-- что именно, вам лучше знать - какой там тег закрыть.. и дальше нужный код.. Но потом что с ним делать? Ну получит пользователь "дополнительный" ответ с базы / дополнительный код (xss) и что? Потом это все на XSS снифер? (если мы подсунули админу, а мы всего лишь пользователи) Но тогда мне интересно что же нужно для того чтобы установить пользователю "спец" куки? ХSS на сайте? XSS чтобы сделать SQL inj и передать еще через один XSS на снифер? Т.е. я в этом не шарю и хотел сказать "нам нужен админ чтобы получить права админа?". Все остальное сто нашел - так это просто скрытие следов пребывания на сайтах. И еще "adware устанавливает куки чтобы следить" - как зачем и где не понятно, но в описании каждого (почти) антивируса и файера есть подобная строчка. Я не компетентен в этом вопросе, надеюсь, кто-то обьснит. О, может завтра преподов загрузить? Ха, они зависнут. Хорошо опечатался когда писал =)
LynXzp Это способ атаки сайта а не браузера. (не твой случай) Дай ссылку где тебе пишет что есть опасные куки (хочу изучить)
Так в том то и дело я то и хочу узнать чем они опасные. Все их только удаляют. Ссылки на программы которые их удаляют? outpost zonealarm kaspersky - эти точно, но на их сайтах ничего нет вразумительного отнсительно зачем они их удаляют. Кроме "celar adware cookies" и нескольких нареканий пользователей о ложных срабатываниях.