Mozektevidi.net website

• home
• fotky
• kontakt

XSS - úvod do cross-site scripting

Cross-site scripting (XSS), úvod do problematiky, pár příkladů. O co přesně jde a rozšířené mýty o XSS

XSS

Chyba XSS patří k nejrozšířenějším a zároveň k nejvíce přehlíženým. I já chyboval.

O co jde (XSS)

Chyba může potkat dynamicky generovanou stránku (PHP, ASP, Javascript..), kde nejsou ošetřeny vstupy a výstupy.
Vstupem může být HTTP žádost webové aplikace (parametr v URL, post data, formulář, $SERVER, cookie..

Example

Příkladem XSS je adresa s parametrem http://domena.net/search.asp?co=hledany_vyraz. Když nahradíme parametr hledany_vyraz kódem <script>alert(1)</script> a vyskočí okno, je zde chyba. Uvedený škodlivý kód není až tak nebezpečný. Mohl by být využit k sociotechnice. Fantazii se meze nekladou.

Rozšířené mýty o XSS

XSS je v odkazu vidět - Nemusí být vidět. Jak jsem již napsal, nemusí se měnit pouze GET parametry, stačí je nahrát do POST dat, jako parametr k obrázku, referery.. možností je několik.
Omezení délkou vstupu - Na stránku se nemusí posílat stránky kódu, stačí napsat kouzelné script src="http://neco_kdekoliv_na_netu.js /script. Hotovo. Stačí pár znaků. Žádné řádky kódu :-)
Metoda POST je imunní proti XSS - Ale kdepak, kdo vám to pověděl
HTTPS nebere XSS - protokol přenosu není důležitý. Jen se může objevit upozornění o připojení na jinou doménu (atribut src). Většina stejně povolí
Zakázaný Javascript pomůže - ano, pomůžu. Nezpracují se škodlivé JS. Stále však funguje html embedding. Tady přichází manipulace.

Doufám, že vás téma zaujalo, budu pokračovat.

Líbil se ti článek? Sleduj další články pomocí RSS.

Související články

• Nejsou žádné podobné články

Diskuze ke článku

Komentáře a diskuze ke článku tady

RSS export

Náhodné články

• Sázava fest 2006 fotky
• Austro bohemia.cz jsou amatéři
• PF 2007
• Residentní noc ve Starých Lázních
• Ples obchodní školy
• Skript pro zjištění pageranku všech stránek
• Který bankovní účet vzít?
• Adsense vs etarget vs adfox
• HTC TyTN II (Kaiser) je doma
• Zavírák 2008 Milovice fotky

Poslední články

• Není nad projížďku na kole
• Upgrade pevného disku, 5400 nebo 7200?
• Report Votvírák 2009
• Jak se vykrádá soukromí na Facebooku - Badoo.com
• LCD Samsung T240 je doma
• Zase o trochu rychlejší připojení k internetu
• Který LCD monitor si koupit?
• Badoo - další zbytečná sociální síť
• Rallye Český Krumlov fotky
• Fotky z posledního zvonění

Tagy ke stránce

flat out 2 ke stazeni zdarma flatout 2 cz ke stažení call of duty 3 download plna verze zdarma www flat out call of duty 2 plna hra ke stazeni call of duty 1 download plna verze zdarma call of duty 4 plna verze ke stazeni flatout 2 ke stazeni plna verze plná hra flatout 2 ke stažení flatout 2 plná verze ke stažení

Poslední komentáře

---