Воруем Cookie через Flash

Discussion in 'Новогодний Видео-Конкурс [2013]' started by OxoTnik, 24 Dec 2013.

  1. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    Название: Воруем Cookie через Flash

    Описание видео: Самый простой пример угона Cookies через Flash




    Смотреть | Скачать




    Имя автора видео: OxoTnik
     
    #1 OxoTnik, 24 Dec 2013
    Last edited: 2 Apr 2015
    14 people like this.
  2. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Все быстро, коротко, ничего лишнего. Вариант с getURL, обычно для этого ExternalInterface использовали.
     
  3. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    могу переснять, только разницы практический никакой.
     
    #3 OxoTnik, 25 Dec 2013
    Last edited: 26 Feb 2014
    1 person likes this.
  4. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Этого делать как-раз не нужно. :) Достойная и очень уместная альтернатива.
     
  5. BlackIce

    BlackIce Elder - Старейшина

    Joined:
    10 Jan 2013
    Messages:
    100
    Likes Received:
    31
    Reputations:
    27
    Доставила проститутка Ксюша в закладках...
     
    4 people like this.
  6. seofilms

    seofilms Banned

    Joined:
    27 May 2009
    Messages:
    66
    Likes Received:
    46
    Reputations:
    14
    При таком способе перекидывает на URL, а это палевно.
    Есть возможность это сделать невидимо? Как нулевой iframe ?
     
  7. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    Вообще там много нюансов и возможностей, это все надо читать в возможностях actionscript


    Приятно что в icq стучат и спрашивают, люди знания требуют.
     
    #7 OxoTnik, 30 Dec 2013
    Last edited by a moderator: 8 Jan 2014
    1 person likes this.
  8. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    917
    Likes Received:
    492
    Reputations:
    724
    seofilms, как уже писал XAMEHA - ExternalInterface.
    А вообще в большинстве CMS, которые позволяют вставлять Flash присутствует опция для защиты от вызова JS
     
    _________________________
    #8 VY_CMa, 30 Dec 2013
    Last edited by a moderator: 8 Jan 2014
  9. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Молодец, все просто и понятно!
     
    #9 GoodGoogle, 31 Dec 2013
    Last edited by a moderator: 8 Jan 2014
  10. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    JS на странице будет выполняться только если эта страница находится на одном домене с SWF файлом.


    P.S.: "Альтернатива XSS. Атаки через flash."
     
    #10 M_script, 2 Jan 2014
    Last edited: 2 Jan 2014
    2 people like this.
  11. RomanxD

    RomanxD Member

    Joined:
    11 Jun 2012
    Messages:
    107
    Likes Received:
    79
    Reputations:
    1
    XSS уязвимость и Flash ActionScript:

    http://master-it.biz/xss-attack-javascript-actionscript.html

    (Подробный FAQ)
     
    #11 RomanxD, 3 Jan 2014
    Last edited: 8 Jan 2014
  12. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Если вы снимаете видео с повторением какой-либо хорошей, известной и большой публикации то такой вариант никак не пройдет.

    Публикация малораспространена - вариант более чем возможен, даже наоборот. Разрешено все что не запрещено. Можно брать как и старые темы, так и новые разработки с докладов по ИБ(Не забываем приводить ссылки). :)
     
    #12 randman, 3 Jan 2014
    Last edited: 3 Jan 2014
  13. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    Хм, я этой темы не видел хотя искал, а вариант реализаций я видел на самом adobe.com только более сложный
     
  14. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Эта тема с 2004 года написана в официальной документации на adobe.com, а функция getURL поддерживается флеш плеером с 1997 года, так что приведенная ссылка далеко не первоисточник.
     
    #14 M_script, 3 Jan 2014
    Last edited by a moderator: 8 Jan 2014
  15. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Для данного видео главной ссылкой будет adobe.com, там еще можно много полезного найти. Ссылки указывают именно для того, что-бы получить дополнительную информацию.

    Никто не заставляет вас снимать видео, о котором нигде ничего не написано. Это невозможно, всегда есть фундаментальная основа.

    Снимаете видео для заработка - заработать у вас не получится никогда. Мыслить нужно иначе, например не Я залью шелл на сайте с PR=6, не Я на выходных откопаю инклуд и отправлю его на конкурс, а Я расскажу о варианте интересной и не столь популярной уязвимости/техники атаки через Flash. Вариантов множество, каждый находит его для себя.

    RomanxD, в том, о чем вы говорите нет ничего плохого. Успешные видео, в отличии от публикаций, в первую очередь стремятся к получению рейтинга, информативность на втором плане - из-за этого часто встречаются публикации статья + видео. Оценивать работы вы будете при голосовании. А сейчас можно почитать статьи, FAQ, обсуждения, получить из них все недостающее и даже больше. Давайте приведем линки, почему бы и нет? Кстати о формате mov можно подробнее?
     
    #15 randman, 4 Jan 2014
    Last edited: 4 Jan 2014
  16. ACCOUNTSVK

    ACCOUNTSVK Banned

    Joined:
    4 Dec 2013
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Подскажи пожалуйста. Ворует куки полностью все? То есть Flash будет находится на моем сайте, он куки украдет, и я смогу войти и в ВК, и Яндекс и т.д. этого человека?
     
  17. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Куки одного домена без HttpOnly.
     
  18. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Это вы называете актуальной информацией?
    не первый линк конечно же шедевр 2008 года, ну второй линк для археологов 2006 года, для начинающих авторов связок))) естественно если и плеер тех времен найдут)), какое это вообще отношение имеет к видео? то было и прошло, а это видео сейчас и действует!
     
    _________________________
    2 people like this.
  19. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Но на некоторых сайтах есть фильтрация URL в swf. Например, в той же OpenX такая функция есть. Было бы очень круто, если бы показал методы обфускации своего кода. А так, респект!
     
  20. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    выбирай :)