ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Песочница (https://forum.antichat.io/forumdisplay.php?f=189)
-   -   XSS в Drupal (https://forum.antichat.io/showthread.php?t=387552)

ya.igor 27.06.2013 13:16

Столкнулся с XSS на сайте под Drupal 7.

Заметил следующую особенность Drupal 7, все куки кроме SESS приходят, а у SESS изменено имя, индивидуальное для каждого сайта Drupal 7, имеет форму типа:

SESSecb798a2a44cb7fe4eb3d19ff343503d=iTZwzCL1P9HFi JeXx_SwjrT8q_IJGoRp6XXhgTqN1_U

У этого кука по базе добавлена отметка HttpOnly.

Получается, что теперь Drupal 7 защищен от XSS даже если открыты Full Html

Была идея, имея все куки кроме SESS, его возможно как-то сгенерировать


Время: 16:26