XSS na mozektevidi.net Mozektevidi.net - Mozektevidi.net.

XSS na mozektevidi.net

Já píšu o bezpečných skriptech a sám nemám zameteno před vlastním prahem. XSS na mozektevidi.net

XSS

Cross-site scripting

Když jsem napsal o XSS, hned mi bylo vytknuto XSS v komentářích. Sysel hodněkrát zkoušel narvat javascript do input web. Po mnoha pokusech se mu to povedlo. Stačí ukázat myšítkem na http://"onMouseMove="alert(String.fromCharCode()) a vyskočí JS okno. Obrana vypadá jednoduše. Stačí vyhazovat apostrofy. HtmlSpecialChars očividně nestačí Pohoda

XSS

XSS ve hledání

Další xss chybu jsem měl v php skriptu fulltext.php. Matěj21 mi poslal odkaz http://mozektevidi.net/?co=fulltext&vysledek=1&hledej=<script>alert(1);</script> . Vyskočilo xss okno. skript fulltext.php jsem netvořil já. Jde o skript, který prohledává databáze. Našel jsem ho na netu, tak jsem mu "věřil". To byla očividně chyba

Důvěřuj, ale prověřuj

Staré známe přísloví. Každý skript prověřit. Nastačí pouze ctrl + c, ctrl + v a vesele používat.


autor článku OS | datum publikování 9.březen.2007 12:30 | články o IT bezpečnosti a obraně proti hackingu IT bezpečnost |

Kometáře

Zatím tu nejsou žádné (schválené) kometáře.

Nové kometáře nejsou povolené.