Общие > Nавигатор
[security] XSS без XSS или 1001 способ напакостить на форуме
(1/1)
Green Kakadu:
Весьма познавательная статья на SecurityLab:
XSS без XSS
Довольно подробно расписываются разные методы взлома. После таких статей не захочешь пользоваться никакими скриптами, а перейдешь на статичные html странички.
--- Цитировать ---На мой взгляд описанные возможности являются очень опасными по нескольким причинам.
1) существует огромное количество продуктов, уязвимых к такого рода атакам
2) атака очень легко осуществима
3) атака может быть проведена незаметно для администратора
4) атака может быть проведена с минимальными взаимодействиями с администратором (модератором) системы
Как защиту от подобного рода атак я рекомендую каждый раз, для каждых данных, отправленных на форуме, добавлять к ним идентификатор сессии или его хеш, с последующей проверкой на сервере.
--- Конец цитаты ---
Не забудьте глянуть комментарии :)
статья: XSS без XSS
по теме:
[mysql] Взлом скриптов, использующих MySQL
Навигация
Перейти к полной версии