Обхід httpOnly в Firefox і Java
20:18 22.08.2012Продовжуючи розпочату традицію, після попереднього відео про ClickJacking веб камери, пропоную нове відео на веб секюріті тематику. Цього разу відео про обхід httpOnly в Firefox і Java. Рекомендую подивитися всім хто цікавиться цією темою.
Bypass httpOnly in Firefox 8.0.1 and Java plugin 7ux
Існує такий захист кукісів як httpOnly. В ролику демонструється обхід httpOnly в Firefox. Для атаки використовується функція Packages браузера Firefox (підтримується починаючи з Firefox 3.6) та Java плагін (вразлива версія Java 7u1).
Атака відбувається під час виконання JS коду в браузері (тобто під час проведення XSS атаки на користувача). Рекомендую подивитися дане відео для розуміння векторів атак на браузери.