Если бы так всё просто.. Не помню в каком это было чате, но вроде в вуду. Делал по таком у же принципу. Наводил на отправить сообщение, показывалось айди. Так же оно палилось через сорцы, я думал что заепца и щас я ник угоню. Но не тут то было-) Ради проверки решил сделать тоже самое с другим юзером, айди был тот же. Проверил ещё на нескольких. Айди тот же. Так что это не айди юзера, а твой собственный. Через сорцы он ясное был виден, т.к. при заходе в форму отправки, вписывались твои данные. Так скорей всего и в этом случае. Просто на ссылке отображался айди с которого отправляешь, а не на который. Так что протестируй на других.
voc/chat/who.php?session=bbd874ab05af7b83f968bc5d6d9e2546&send_to_id=785 &send_to_id=785 вы про этот id?
Не чужой айди, а свой.. Такое часто бывает, в чатсити\кроватке та же шняга. Скорей всего да, но смотря на эту ссылку понимаю что всё же отсылается на какой то айди а не с какого то. Здесь отслыка идёт только с сессии.
ток нафига здалось это ID я говорил не об ID пользователя а о SessionID(сессии) __ вопрос почему на обычную сниффу нельзя поймать whoList по идее ведь тож самое что и куки.. чёто я никак догнать не могу
sL1P Да уж ...я тож щас проверил ты прав)) Gho_st Ты не путай ... в некоторых чатах пасс сохраняется в куках например в MD5 а в вудду в куках сохраняется сессия , временное переменная. Юзер вышел из чата то всё! ..Нихрена ты не сделаешь с его куками если даже он сам тебе их отдаст
Ребята у меня вот такая идея можно ли на PHP или на каком нить серверном языке скодить прогу чтоб она генерировала сесии и сохранял например в txt файл и чтоб сессии были точно такие же как и в вудду
2 Electro как ты это сделаеш если они рандомно присаиваются сессия в куках.. где эта ..(ну мош разве что в старых версиях) зная сессию можно а) банально угнать акк б) писать, банить от др ника, читать приваты и т п только в том и тема что в Вуду сессии в куках нет если б была всё было бы намного проще.. вон они XSSки чат/go.php?url= куки спереть беспробем только толку?
Впринципе создание такой проги вполне реально, главное разобрать сессию, и понять по какому принципу её создают. Electro, флаг в руки-) Всё же сессия не может приписываться рандомно.
У тя XSS_Kit есть?? Если есть то сделай следющее Когда будешь в чате то открой контекстное меню и выбери там Куки Там ты увидешь свой хеш... это хеш в принципе но там идет c.hash=xerxerxerxerxerxerxerxerxerxer потом по моему юзер нейм , колор и еще что то ...
взято из Voc.php PHP: $session = md5(uniqid(rand())); __ чесно скажу IE XSS kit не юзал(к своему стыду) я поступаю сл образом -> вбиваю в аддресную строку броузера в которой открыт чат javascript:alert(document.cookie) и броуз мне тутже демонстрирует содержимое куков
Нет, не возможно. Сессия нужна сугубо для идентификации пользователя, который залогинился в чат. Никакой привязки к индексу профиля пользователя в чате НЕТ -- строка сесси генерируется псевдослучайным образом.
а жаль.... можно еще такой вопрос в куках параметр c_hash это что? хеш пароля? какой нибудь идентификатор?
Хеш куки. К сессии в чате не имеет никакого отношения. Используется как один из вспомогательных механизмов безопастности.
ну хеш кукисов в стандартной сборки не сипользуется для безопастности. насколько я помню он участвует только в бане, т.е. кроме ника/ip/под_сети банится еще и браузер.. кстати, нафига тогда бан хеша браузера?