XSS na mozektevidi.net Mozektevidi.net - Mozektevidi.net.
XSS na mozektevidi.net
Já píšu o bezpečných skriptech a sám nemám zameteno před vlastním prahem. XSS na mozektevidi.netXSS
Cross-site scripting
Když jsem napsal o XSS, hned mi bylo vytknuto XSS v komentářích. Sysel hodněkrát zkoušel narvat javascript do input web. Po mnoha pokusech se mu to povedlo. Stačí ukázat myšítkem na http://"onMouseMove="alert(String.fromCharCode()) a vyskočí JS okno. Obrana vypadá jednoduše. Stačí vyhazovat apostrofy. HtmlSpecialChars očividně nestačí 
XSS ve hledání
Další xss chybu jsem měl v php skriptu fulltext.php. Matěj21 mi poslal odkaz http://mozektevidi.net/?co=fulltext&vysledek=1&hledej=<script>alert(1);</script> . Vyskočilo xss okno. skript fulltext.php jsem netvořil já. Jde o skript, který prohledává databáze. Našel jsem ho na netu, tak jsem mu "věřil". To byla očividně chyba
Důvěřuj, ale prověřuj
Staré známe přísloví. Každý skript prověřit. Nastačí pouze ctrl + c, ctrl + v a vesele používat.
OS |
09.Mar.2007 11:30 |
Kometáře
Nové kometáře nejsou povolené.
Follow me!
RSS me!
Kategorie
- blog
- filmy
- fotoakce
- IT
- IT bezpečnost
- krátce
- linux
- Motorky a auta
- Názory
- Práce
- recenze
- Reklama
- služby
- sociotechnika
- Studium
- wifi sítě