Prev Предыдущее сообщение   Следующее сообщение Next
Старый 15.04.2011, 12:42   #1
SynQ
 
Регистрация: 11.07.2010
Сообщений: 954
Репутация: 352
По умолчанию Делаем Firefox сексуальным / Make Firefox sexy

UPDATE: Новая тема https://rdot.org/forum/showthread.php?t=2875

Делаем Firefox сексуальным.

Патч призван устранить кодирование одинарной кавычки в GET-запросах.

Начиная с версии 3.0 (коммит), Firefox стал урл-кодировать одинарную кавычку (') в %27. Данное поведение нередко может помешать обнаружить SQL инъекцию в веб-приложениях, например, при участии переменных $_SERVER["QUERY_STRING"] и $_SERVER["REQUEST_URI"] в SQL запросах в PHP-приложениях.
Разработчики упорно не признают это недостатком, хотя ни один другой популярный браузер этого не делает.


Патч универсален, патчит Firefox на всех платформах, независимо от локали. Возможна работа на производных от Firefox браузерах (Palemoon, SeaMonkey и т.д.) [требует подтверждения].
Работа патча протестирована на Firefox 3.6, 4.0 и 10.0.

Проверка успешности работы патча:
Цитата:
nc -l -p 7777
Firefox: http://localhost:7777/?quote='
Процесс обновления Firefox следует проводить только (!) с оригинальным xul.dll. После обновления потребуется применить патч снова [см. README.txt].

Пути по умолчанию:
Код:
C:\Program Files\Mozilla Firefox\xul.dll
/usr/lib/firefox-4.0/libxul.so или /usr/lib/xulrunner-2.0/libxul.so	[ubuntu]
/Applications/Firefox.app/Contents/MacOS/XUL
Поведение различных браузеров:
Код:
IE9:	 GET /index.php?id=q'w"e`r HTTP/1.1
Safari5: GET /index.php?id=q'w%22e`r HTTP/1.1
Opera11: GET /index.php?id=q'w%22e%60r HTTP/1.1
FF3.0a4: GET /index.php?id=q'w%22e%60r HTTP/1.1
FF3.0a6: GET /index.php?id=q%27w%22e%60r HTTP/1.1
-----------------------------------------------------------
Апдейт (Февраль 2012)

Начиная с версии 9 немного поменялась строка для поиска (из-за этого коммита), поэтому на Firefox 9, 10 и далее следует использовать 2-рую версию патчера.
Версия 1 по-прежнему применима к Firefox 3.0 – 8.0.


Также доступна версия патчера под Linux (убирает урл-кодирование всех 3 кавычек по желанию, автор n0body ) - make_ff-sexy_v2.tar.bz2.

-----------------------------------------------------------

SynQ, rdot.org

Последний раз редактировалось SynQ; 05.10.2013 в 13:57..
SynQ вне форума  
 

Метки
firefox, injection, sql

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd. Перевод: zCarot