คำตอบที่ได้รับเลือกจากเจ้าของกระทู้
ความคิดเห็นที่ 2
เวลาคุกกี้สร้างปุ๊บ มันก็อยู่ในเครื่องเรา ของ a.com ก็เก็บภายใต้ a.comของใครของมัน เป็น domain cookie แล้วในนั้นก็มี path cookie อีกด้วย
มันเป็นที่ตัวเบราเซอ มันจะจัดการมองหา คุกกี้ของโดเมนและpathนั้นๆ
ไม่สามารถไปดูของคนอื่นได้
พูดง่ายๆว่า มีห้องของใครของมัน
เข้าเว็บa ถ้ามีการสร้างคุกกี้ก็เก็บไว้ในห้องของa รีไดเรกไปเว็บ
b ก็ออกจากห้องของa เก็บเข้าห้องของb
เรื่องการทำ xss คงไม่เหมาะที่จะอธิบายว่าทำยังไงเพื่อไม่ให้เกิดการนำไปใช้ในทางที่ผิด
วิธีการทำจริงๆอยากรู้เสิชหาเอามีเยอะ เป็นภาษาอังกฤษ
,ส่วนข้อแรก ที่ถาม มีอีกหลายวิธี ที่จะเรียกดูคุกกี้ ตามภาษาที่ใช้ เช่น js ก็มีคำสั่งเรียกดูคุกกี้
แต่ว่าก็ถูกจำกัดไว้ ให้ดูได้แค่โดเมนของตัวเองด้วยเหตุผลทางด้านความปลอดภัย เช่นเดียวกับเหตุผลข้างบน
มันเป็นที่ตัวเบราเซอ มันจะจัดการมองหา คุกกี้ของโดเมนและpathนั้นๆ
ไม่สามารถไปดูของคนอื่นได้
พูดง่ายๆว่า มีห้องของใครของมัน
เข้าเว็บa ถ้ามีการสร้างคุกกี้ก็เก็บไว้ในห้องของa รีไดเรกไปเว็บ
b ก็ออกจากห้องของa เก็บเข้าห้องของb
เรื่องการทำ xss คงไม่เหมาะที่จะอธิบายว่าทำยังไงเพื่อไม่ให้เกิดการนำไปใช้ในทางที่ผิด
วิธีการทำจริงๆอยากรู้เสิชหาเอามีเยอะ เป็นภาษาอังกฤษ
,ส่วนข้อแรก ที่ถาม มีอีกหลายวิธี ที่จะเรียกดูคุกกี้ ตามภาษาที่ใช้ เช่น js ก็มีคำสั่งเรียกดูคุกกี้
แต่ว่าก็ถูกจำกัดไว้ ให้ดูได้แค่โดเมนของตัวเองด้วยเหตุผลทางด้านความปลอดภัย เช่นเดียวกับเหตุผลข้างบน
แสดงความคิดเห็น
สงสัยเรื่อง cookies ครับ
2.ถ้า domain www.aaa.com มี cookies ถ้าผมเข้า bbb.com
เป็นไปได้ไหมที่ bbb.com จะแอบดู cookies ผมผ่าน $HTTP_GET_VARS ?
คือเป็นไปได้ไหมที่ web ต่าง domain จะขโมย cookies กันและกัน โดยวิธีไหน ?
3.ถ้าขโมยแบบหน้าด้าน ๆ ไม่ได้แล้วถ้าเป็นการ redirect จาก aaa.com ไป bbb.com
จะทำให้ bbb สามารถเข้าถึง cookies aaa ได้ไหมครับ
ขอบคุณครับ