XSS na mozektevidi.net (c) Oldřich Šálek
XSS na mozektevidi.net
Já píšu o bezpečných skriptech a sám nemám zameteno před vlastním prahem. XSS na mozektevidi.netXSS
Cross-site scripting
Když jsem napsal o XSS, hned mi bylo vytknuto XSS v komentářích. Sysel hodněkrát zkoušel narvat javascript do input web. Po mnoha pokusech se mu to povedlo. Stačí ukázat myšítkem na http://"onMouseMove="alert(String.fromCharCode()) a vyskočí JS okno. Obrana vypadá jednoduše. Stačí vyhazovat apostrofy. HtmlSpecialChars očividně nestačí 
XSS ve hledání
Další xss chybu jsem měl v php skriptu fulltext.php. Matěj21 mi poslal odkaz http://mozektevidi.net/?co=fulltext&vysledek=1&hledej=<script>alert(1);</script> . Vyskočilo xss okno. skript fulltext.php jsem netvořil já. Jde o skript, který prohledává databáze. Našel jsem ho na netu, tak jsem mu "věřil". To byla očividně chyba
Důvěřuj, ale prověřuj
Staré známe přísloví. Každý skript prověřit. Nastačí pouze ctrl + c, ctrl + v a vesele používat.
Oldřich Šálek |
9. března 07, 12:03 |
- Související články
- Chce někdo mozektevidi.ic.cz PR4? (9. ledna 08, 09:01)
- Někdo koupil doménu mozektevidi.cz (22. listopadu 07, 10:11)
- Trochu nostalgie webu mozektevidi (13. listopadu 07, 08:11)
- Doména mozektevidi.net (11. ledna 07, 07:01)
- Mozektevidi opustil webhosting savana.cz (6. ledna 08, 05:01)
Diskuze ke článku
Komentáře a diskuze ke článku tady
Vyhledávání na webu
Kategorie článků
- IT (35)
- IT bezpečnost (28)
- Názory (52)
- blog (114)
- filmy (11)
- fotoakce (51)
- krátce (33)
- linux (24)
- recenze (57)
- služby (59)
- sociotechnika (19)
- wifi sítě (4)
Náhodné články
- Redakční systém je skoro hotov
- Nové ICQ 6 - a pak že to nejde
- Brigáda v OBI
- Linux na notebooku asus - Fedora
- K750 - Král mobilů
- Protest proti státním maturitám
- Doménoví spekulanti
- Jsem pan podnikatel
- Také tagujete? Tagy 2.0
- Doména mozektevidi.net
Poslední články
Tagy ke stránce
stronghold fotky připojení stronghold crusader přes hamachi xss mozek PROBLEMY S PRIPOJENIM STRONGHOLD CRUSADER sazava fest fotky stronghold crusader screeny důvěřuj ale prověřuj Sysel XSS stronghold crusader 1.0 přes hamachi stronghold crusader pres hamachi hledání v php php a fulltext javascript input php hledani stronghold 2 fotkyPoslední komentáře
RSS export
© Copyright Oldřich Šálek. Používám kvalitní webhosting netzona.cz
Vrátit nahoru