Per iFrame Cookies abfragen?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Per iFrame Cookies abfragen?

    Guten Abend,

    ich wollte Frage, ob es möglich ist (wenn ja, evtl. Verweis auf eine Seite, Stichwort etc.) per iFrame Cookies auf folgende Weise auszulesen:
    Besucher ist auf meiner Seite A und loggt sich per Iframe auf einer Seite B ein. Kann ich nun von meiner Seite A auf die gesetzten Cookies von Seite B des Users in irgendeiner Art und Weise zugreifen?

    Über Antworten wäre ich sehr dankbar.
    Gruß

    c0restalker

  • #2
    Nein. Als Stichwort: same origin policy

    Kommentar


    • #3
      Zitat von c0restalker Beitrag anzeigen
      Besucher ist auf meiner Seite A und loggt sich per Iframe auf einer Seite B ein. Kann ich nun von meiner Seite A auf die gesetzten Cookies von Seite B des Users in irgendeiner Art und Weise zugreifen?
      Wenn „Seite A“ und „Seite B“ unterschiedliche (Top Level) Domains bedeuten - nein, dann kannst du nicht zugreifen.

      Höchstens, wenn du Phishing betreibst.
      I don't believe in rebirth. Actually, I never did in my whole lives.

      Kommentar


      • #4
        Erstmal dankeschön für eure Antworten.
        Gäbe es denn irgendeine andere Möglichkeit auf die Cookies zuzugreifen? Ohne jetzt XSS-Lücken auf den Seiten zu suchen meine ich.
        Der Benutzer muss derzeit seine ganzen Login-Cookies per Hand auf meiner Seite eingeben, das wollte ich eigentlich dadurch vermeiden, dass sie per irgendeinem Script ausgelesen werden.


        Gruß

        Kommentar


        • #5
          Zitat von c0restalker Beitrag anzeigen
          Gäbe es denn irgendeine andere Möglichkeit auf die Cookies zuzugreifen? Ohne jetzt XSS-Lücken auf den Seiten zu suchen meine ich.
          Wenn es so eine Möglichkeit gäbe, wäre die SOP doch sinnlos, meinst du nicht?

          Du kommst nur an die Daten einer anderen Seite, wenn die andere Seite kooperiert (policy files, APIs, ...).

          Kommentar


          • #6
            Zitat von onemorenerd Beitrag anzeigen
            Wenn es so eine Möglichkeit gäbe, wäre die SOP doch sinnlos, meinst du nicht?

            Du kommst nur an die Daten einer anderen Seite, wenn die andere Seite kooperiert (policy files, APIs, ...).
            Klar
            Also dann vielen lieben Dank.
            Muss ich mir was anderes einfallen lassen, ist halt blöd von über 5 Cookies die Values per Hand einzutragen.

            Lieben Gruß

            Kommentar


            • #7
              Zitat von c0restalker Beitrag anzeigen
              Der Benutzer muss derzeit seine ganzen Login-Cookies per Hand auf meiner Seite eingeben
              Wieso soll er sie denn überhaupt auf deiner Seite eingeben ...?

              Wenn ich mich bei $facebooklikesocialnetwork einloggen will - dann mache ich das doch auf der Seite http://$facebooklikesocialnetwork.[com|de|whatever]/, und nicht über die Seite http://hierhatirgendeinschlaukopf$facebooklikesocialnetworkineinframeseteingebaut.[com|de|whatever]/

              Nach deiner bisherigen Problembeschreibung willst du irgendeinen „Service“ anbieten, dessen Aktivität sich mit der namens Phishing ziemlich deutlich deckt;
              oder du willst wirklich das, was onemorenerd schon andeutete - bei den „großen“ Netzwerken/Communities mitspielen, in dem du auf deren Inhalte/Datenbestände zugreifend eigenen Extra-Schnickschnack mit deren Genehmigung anbieten kannst.
              I don't believe in rebirth. Actually, I never did in my whole lives.

              Kommentar


              • #8
                Zitat von wahsaga Beitrag anzeigen
                Wieso soll er sie denn überhaupt auf deiner Seite eingeben ...?

                Wenn ich mich bei $facebooklikesocialnetwork einloggen will - dann mache ich das doch auf der Seite http://$facebooklikesocialnetwork.[com|de|whatever]/, und nicht über die Seite http://hierhatirgendeinschlaukopf$facebooklikesocialnetworkineinframeseteingebaut.[com|de|whatever]/

                Nach deiner bisherigen Problembeschreibung willst du irgendeinen „Service“ anbieten, dessen Aktivität sich mit der namens Phishing ziemlich deutlich deckt;
                oder du willst wirklich das, was onemorenerd schon andeutete - bei den „großen“ Netzwerken/Communities mitspielen, in dem du auf deren Inhalte/Datenbestände zugreifend eigenen Extra-Schnickschnack mit deren Genehmigung anbieten kannst.
                Hatte ich doch schon erwähnt, dass es sich weder um XSS noch um Phishing oder sonst irgendwas handelt.
                Es sollte mehr ein poc für mich sein, indem es darum geht, mittels einer Webanwendung sich auf eine Seite A einzuloggen, diese Cookies in Script B einzubinden und weiter in ein Gästebuch schreibt.

                Gruß

                Kommentar


                • #9
                  Hallo,

                  du kannst dem User deine Seite X zur Verfügung stellen und die bettet Code von Seite Y direkt (cURL+DOM) ein und verwaltet die Session/Cookies von Seite Y transparent, so dass der User nur mit Seite X kommuniziert und interagiert.

                  Ich find (I)Frames nur doof.

                  Gruß,

                  Amica
                  [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
                  Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
                  Super, danke!
                  [/COLOR]

                  Kommentar

                  Lädt...
                  X