[Owasp-brazilian] Mais sobre XSS (Session Hijacking)

Maycon Vitali mayconuvv at gmail.com
Wed May 13 12:22:06 EDT 2009


Fala Pessoal,

Agora vem uma dúvida minha. Imaginem o seguinte ambiente:

Eu tenho uma página que possúi uma falha de XSS. Porém a
cada requisição eu verifico se o IP que fez a requisição é o
mesmo IP que criou a sessão.

Sem levar em consideração o ataque de Session Fixation, é
possível fazer o sequestro da sessão do usuário?

Lembrando que meu objetivo é simplesmente sequestrar a
sessão.

PS: Ignorem a possibilidade de eu estar na mesma subrede
que a vítima, ou seja, nossos IPs são completamente diferentes.

___
Obrigado,
Maycon Maia Vitali ( 0ut0fBound )
http://maycon.hacknroll.com/
http://blog.hacknroll.com/
Hack'n Roll


More information about the Owasp-brazilian mailing list