Forum Webscript.Ru
Общие => Nавигатор => Тема начата: Green Kakadu от 28 Января 2005, 18:06:16
-
Весьма познавательная статья на SecurityLab:
XSS без XSS (http://www.securitylab.ru/52234.html)
Довольно подробно расписываются разные методы взлома. После таких статей не захочешь пользоваться никакими скриптами, а перейдешь на статичные html странички.
На мой взгляд описанные возможности являются очень опасными по нескольким причинам.
1) существует огромное количество продуктов, уязвимых к такого рода атакам
2) атака очень легко осуществима
3) атака может быть проведена незаметно для администратора
4) атака может быть проведена с минимальными взаимодействиями с администратором (модератором) системы
Как защиту от подобного рода атак я рекомендую каждый раз, для каждых данных, отправленных на форуме, добавлять к ним идентификатор сессии или его хеш, с последующей проверкой на сервере.
Не забудьте глянуть комментарии :)
статья: XSS без XSS (http://www.securitylab.ru/52234.html)
по теме:
[mysql] Взлом скриптов, использующих MySQL (http://forums.webscript.ru/showthread.php?s=&postid=117833)