XSS na mozektevidi.net (c) Oldřich Šálek

XSS na mozektevidi.net

Já píšu o bezpečných skriptech a sám nemám zameteno před vlastním prahem. XSS na mozektevidi.net

XSS

Cross-site scripting

Když jsem napsal o XSS, hned mi bylo vytknuto XSS v komentářích. Sysel hodněkrát zkoušel narvat javascript do input web. Po mnoha pokusech se mu to povedlo. Stačí ukázat myšítkem na http://"onMouseMove="alert(String.fromCharCode()) a vyskočí JS okno. Obrana vypadá jednoduše. Stačí vyhazovat apostrofy. HtmlSpecialChars očividně nestačí Pohoda

XSS

XSS ve hledání

Další xss chybu jsem měl v php skriptu fulltext.php. Matěj21 mi poslal odkaz http://mozektevidi.net/?co=fulltext&vysledek=1&hledej=<script>alert(1);</script> . Vyskočilo xss okno. skript fulltext.php jsem netvořil já. Jde o skript, který prohledává databáze. Našel jsem ho na netu, tak jsem mu "věřil". To byla očividně chyba

Důvěřuj, ale prověřuj

Staré známe přísloví. Každý skript prověřit. Nastačí pouze ctrl + c, ctrl + v a vesele používat.

ico

Oldřich Šálek |

9. března 07, 11:03

Líbil se ti článek? Sleduj další články pomocí RSS.

Související články

Doména mozektevidi.net (11. ledna 07, 18:01)
Mozektevidí.net na prodej (1. dubna 09, 09:04)
Chce někdo mozektevidi.ic.cz PR4? (9. ledna 08, 20:01)
Trochu nostalgie webu mozektevidi (13. listopadu 07, 19:11)
Někdo koupil doménu mozektevidi.cz (22. listopadu 07, 21:11)
Mozektevidi opustil webhosting savana.cz (6. ledna 08, 16:01)

Diskuze ke článku

Komentáře a diskuze ke článku tady

diskuze ke článku

Vyhledávání na webu

RSS export

Náhodné články

Poslední články

Tagy ke stránce

xss na ic sysel XSS sazava fest fotky fulltext vysledek 1 js okna diskuze xss script

Poslední komentáře