[gull] messages en format texte svp
Marc SCHAEFER
schaefer at alphanet.ch
Tue Jan 11 12:21:01 CET 2005
On Mon, Jan 10, 2005 at 11:10:59PM +0100, Marc Mongenet wrote:
> - surveillance de la consultation du courrier grâce au téléchargement
> automatique des images (désactivable dans Mozilla)
Le téléchargement automatique d'`images' permet également des attaques
de cross-scripting.
Exemple:
- Je viens d'ouvrir Webmin sur mon serveur, j'ai donc un cookie
me permettant d'exécuter des commandes car j'y suis loggué
- Je consulte mon mail, un tag
<IMG SRC="http://192.168.1.10/webmin/reboot.pl" ALT="">
provoque l'exécution du reboot du serveur.
Personnellement je n'ai pas encore vraiment compris comment les cookies
passent d'une fenêtre à l'autre d'un navigateur, donc peut-être que ce
que je dis n'est pas toujours exploitable.
More information about the gull
mailing list