Zábava s XSS na e-zabava.net Mozektevidi.net - Píše Olda Šálek.

Navigace:Mozektevidi.netIT bezpečnost ⇒ Zábava s XSS na e-zabava.net

Zábava s XSS na e-zabava.net

XSS útok není jenom sranda, tady jde o život(nebo jen o weby?). Objevil jsem XSS chybu u jednoho zábavního serveru e-zabava.net. Co všechno je XSS (Cross-site scripting)?


image of Zábava s XSS na e-zabava.net
eroticka videa, www zabava net cz, zábava e net, video s chybou xss, www eroticka videa cz, XSS útok, www e zabava net, iframe cross site scripting, www erotické videá, xss fotky z mobilu,

XSS útok na e-zabava.net

V době nejvyššího pracovního nasazení mi píše nick 80rac3k na skype. Žádá o zhodnocení svojich stránek po straně bezpečnostní:

Žádost na skype

[4.2.2007 12:14:51] 80rac3k píše: zdarec, nevím, jestli tu jsi...pokud jo, tak napiš, dík
Doufám, že nevadí tykání
[11.2.2007 17:04:01] mozekk750 píše: tykání nevadí, co potřebuješ
tykání nevadí, co potřebuješ. Vícekrát se ptát nebudu
[14.2.2007 17:27:01] 80rac3k píše: chtěl jsem, jestli by ses nezkusil podívat na můj web - http://www.e-zabava.net ...jestli tam nenajdeš nějaké bezpečnostní chyby
[14.2.2007 17:27:09] 80rac3k píše: spíš jen tak zhruba
[14.2.2007 17:27:29] 80rac3k píše: páč detailně by to bylo kvůli spoustě scriptů asi na dost dlouho
[14.2.2007 17:27:32] 80rac3k píše: šlo by to?
[14.2.2007 17:28:27] 80rac3k píše: v poslední době sem se to snažil co nejvcí zabezpečit, aby nebylo snadné to hacknout, tak doufám, že se mi to podařilo
[14.2.2007 17:32:15] mozekk750 píše: máš tam chybu Machr

To ho jistě moc nepotěšilo, že mu bez bez dlouhého rozmýšlění sděluji tvrdou zprávu. Taková podpásovka no. Ale nedá se nic dělat. Zbytek rozhovoru mu vysvětluji, že jde o chybu xss (Cross-site scripting). PHP injekci jsem ani nezkoušel, nepočítám s tím, že by fungovala.
Neznalí si myslí, že XSS je jenom kosmetická záležitost. Znalí si jistě vzpomenou na Syslovo hacknutí žive.cz. Přes XSS můžu ukradnou cookies, měnit strukturu webové stránky, vkládat JS, html, css, iframe, přesměrovat celou www na jinou doménu a provádět phising. Jen pohleďte na následující kód.
http://www.e-zabava.net/img_view.php?id=%3C/a%3Eahoj%20jak%20se%20mas.%20Tyto%20stranky%20jsou%20moc%20%3Ciframe%20src=http://mozektevidi.net%3E%3C/iframe%3Enezabezpeceny,%20hrozi%20tu%20xss.%20A%20i%20s%20pouhym%20xss%20se%20da%20delat%20plno%20veci.%20%3Cspan%20style=display:block;height:1000px%3E%3C/span%3E
nebo na
http://www.e-zabava.net/img_view.php?id=%3C/a%3Eahoj%20jak%20se%20mas.%20Tyto%20stranky%20jsou%20moc%20nezabezpeceny,%20hrozi%20tu%20xss.%20A%20i%20s%20pouhym%20xss%20se%20da%20delat%20plno%20veci.%20%3Cspan%20style=display:block;height:1000px%3E%3C/span%3E

Ošetřete každé vstupy, hrozí XSS

80rac3k slíbil chybu opravit. Mě za rady a pomoc slíbil odkaz na svojich stránkách na můj web. Doufám, že oboje dodrží. Za odkaz budu rád Pohoda .

autor Oldřich Šálek | cal 2.3.2007 | články o IT bezpečnosti a obraně proti hackingu IT bezpečnost |

Kometáře


Komentáře a diskuze ke článku tady
diskuze ke článku

Související články

hackování počítače kamaráda Vydea do mobilu zdarma nemecky snadno a rychle na mp3 myšlenková mapa badoo přihlásit se windows xp instalace na usb google maps geochacing volanty logitech pc ako dat mp 3 na fb zjištění hesla na icq