Hallo Forum,

ich versuche mit alert(document.cookie) die PHPSESSID meiner Webseite auszulesen. Meine Testdatei startet mit session_start() eine PHP-Session und führt dann im folgenden Javascript-Block alert(document.cookie) aus. Das Ergebnis ist ein leeres Alert-Fenster. Die Stringlänge des Cookies ist 0. In der Cookieliste meines Firefox 3.6.16 steht das Cookie aber drin.

Hab ich was falsch gemacht, wenn ja was, oder liegts an irgendeiner Einstellung des Browsers?

Hintergrund: Ich wurde darauf hingewiesen, dass meine Webseite für XSS-Angriffe anfällig ist. Einige Forumlareingaben wurden nicht korrekt geprüft. Wie das zu reparieren ist, ist klar, schon erledigt. Dennoch wollte ich bei der Gelegenheit mit Hilfe einiger Hackertutorials mal austesten, wie schwer oder leicht das Session-ID-Hijacken ist.

Ich bin wohl kein guter Hacker, wenn ich nichtmal die PHPSESSID meiner eigenen Seite mit alert() ausgeben kann...

Grüße
Max Smily