Mozektevidi.net website

• home
• rss zdroj
• fotogalerie
• kontakt

XSS - úvod do cross-site scripting

Cross-site scripting (XSS), úvod do problematiky, pár příkladů. O co přesně jde a rozšířené mýty o XSS

XSS

Chyba XSS patří k nejrozšířenějším a zároveň k nejvíce přehlíženým. I já chyboval.

O co jde (XSS)

Chyba může potkat dynamicky generovanou stránku (PHP, ASP, Javascript..), kde nejsou ošetřeny vstupy a výstupy.
Vstupem může být HTTP žádost webové aplikace (parametr v URL, post data, formulář, $SERVER, cookie..

Example

Příkladem XSS je adresa s parametrem http://domena.net/search.asp?co=hledany_vyraz. Když nahradíme parametr hledany_vyraz kódem <script>alert(1)</script> a vyskočí okno, je zde chyba. Uvedený škodlivý kód není až tak nebezpečný. Mohl by být využit k sociotechnice. Fantazii se meze nekladou.

Rozšířené mýty o XSS

XSS je v odkazu vidět - Nemusí být vidět. Jak jsem již napsal, nemusí se měnit pouze GET parametry, stačí je nahrát do POST dat, jako parametr k obrázku, referery.. možností je několik.
Omezení délkou vstupu - Na stránku se nemusí posílat stránky kódu, stačí napsat kouzelné script src="http://neco_kdekoliv_na_netu.js /script. Hotovo. Stačí pár znaků. Žádné řádky kódu :-)
Metoda POST je imunní proti XSS - Ale kdepak, kdo vám to pověděl
HTTPS nebere XSS - protokol přenosu není důležitý. Jen se může objevit upozornění o připojení na jinou doménu (atribut src). Většina stejně povolí
Zakázaný Javascript pomůže - ano, pomůžu. Nezpracují se škodlivé JS. Stále však funguje html embedding. Tady přichází manipulace.

Doufám, že vás téma zaujalo, budu pokračovat.

Související články
• Nejsou žádné podobné články

Diskuze ke článku

Komentáře a diskuze ke článku tady

Kategorie článků

• IT (37)
• IT bezpečnost (28)
• Názory (55)
• blog (115)
• filmy (11)
• fotoakce (52)
• krátce (34)
• linux (24)
• recenze (60)
• služby (61)
• sociotechnika (20)
• wifi sítě (4)

Náhodné články

• Ford Fiesta - moje nové auto
• Ad-Aware 2007 boj proti spywaru
• Už mám auto
• Maturitní Ples Obchodky Kolín
• Žádost o spolupráci
• Repli Kate
• SE K750 je křáp
• Linuxák? Linuxák!
• Vyšší dívčí SEO
• Optimalizace SQL dotazů a PHP skriptů

Poslední články

HTC Kaiser Windows Mobile – bugy

Mám premium účet na geocaching.com

4 rady pro začínající blogery

Optimalizace PHP skriptů v praxi

Geocaching je hra pro chlapy

Nějaký zajímavý blog na prodej?

Sázava fest 2008 velká fotogalerie

Uživí se někdo blogováním?

Ruská mafie v pražském Kenvelu

Stěhování webu na nový server

Tagy ke stránce

flatout 2 plna zdarma ke stazeni cod plná verze download zdarma call of duty download plná verze sex videa zdarma download call of duty 2 download plna verze blog sex videa kate plné flatout 2 download hry na nintendo ke stazeni zdarma flatout 2 download zdarma Cross Site Scripting hack hry ke stažení flatout 2 download download hry nintendo flat out 2 čeština download xxx-ke stažení zdarma xss chyba

Poslední komentáře

RSS export

• RSS [články]
• RSS [komentáře]

---