Forum Webscript.Ru

Общие => Nавигатор => Тема начата: Green Kakadu от 28 Января 2005, 18:06:16

Название: [security] XSS без XSS или 1001 способ напакостить на форуме
Отправлено: Green Kakadu от 28 Января 2005, 18:06:16

Весьма познавательная статья на SecurityLab:
XSS без XSS (http://www.securitylab.ru/52234.html)

Довольно подробно расписываются разные методы взлома. После таких статей не захочешь пользоваться никакими скриптами, а перейдешь на статичные html странички.

Цитировать

На мой взгляд описанные возможности являются очень опасными по нескольким причинам.

1) существует огромное количество продуктов, уязвимых к такого рода атакам

2) атака очень легко осуществима

3) атака может быть проведена незаметно для администратора

4) атака может быть проведена с минимальными взаимодействиями с администратором (модератором) системы

Как защиту от подобного рода атак я рекомендую каждый раз, для каждых данных, отправленных на форуме, добавлять к ним идентификатор сессии или его хеш, с последующей проверкой на сервере.

Не забудьте глянуть комментарии :)
статья: XSS без XSS (http://www.securitylab.ru/52234.html)

по теме:
[mysql] Взлом скриптов, использующих MySQL  (http://forums.webscript.ru/showthread.php?s=&postid=117833)