Websecurity - Веб безпека

Як повідовив RSnake в своєму записі IE Sends Local Addresses in Referer Header, існує можливість дізнатися важливу інформацію через реферер. В Internet Explorer 7 (в якому він тестував) при відкритті сторінки (зі спеціальним кодом) передається реферер.

<xml id="xml" src="http://site.com"><xml>

В даному випадку, якщо ця сторінка була збережена на локальний диск і відкрита локально, то на віддалений сервер передасться реферер локальної папки. Що буде витоком інформації, зокрема імені диску та локального шляху, а також (в більшості випадків) імені користувача - його логіна в системі. Раніше для цього потрібно було використовувати JavaScript або інші активні елементи, а тепер реферер можна отримати за допомогою цього простого методу.

Даний метод працює в Internet Explorer і не працює в Mozilla та Firefox. Окрім IE 7, як я перевірив, в IE 6 він також працює.

This entry was posted on 22:37 16.10.2007 and is filed under Новини сайту. You can follow any responses to this entry through the RSS 2.0 feed.