Перейти к содержанию
СофтФорум - всё о компьютерах и не только

XSS атаки

Semens

Автор Semens
в Сетевая безопасность

 Поделиться

Рекомендуемые сообщения

Semens

Semens

Опубликовано
Опубликовано

Мне сказали, что возможна XSS атака, т.к. выводится referrer в необработанном виде. Что вообще такое XSS атаки? Какую опасность представляют XSS атаки на скрипт? Как можно предохранится в этом случае от такой безрадостной перспективы? :g:

Заранее благодарю за ответы.

Ссылка на комментарий
Поделиться на другие сайты
Lemtoks

Lemtoks

Опубликовано
Опубликовано

Что такое вообще - атака, при которой хакер пишет, к примеру, в форму, свой код, и он выполняется при заходе пользователя на страницу.

Чтоб было проще понять: я пишу

<script language-"javascript">alert("HI")</script>

Если бы скрипт форума не был рассчитан на такие попытки взлома, то код бы выполнился, появилась бы табличка, и это была бы xss. Но форум обработал эту строку и ничего не случилось. Жаль :)

Какую опасность представляют XSS атаки на скрипт - иногда просто баловство, вроде появившегося окошка, иногда хакер узнаёт IP для последующих атак, чаще всего - воровство cookies, и, как следствие, получение паролей пользователя к веб-ресурсам.

Как можно предохранится в этом случае от такой безрадостной перспективы - вставить множество проверок получаемых данных.

Это было очень кратенько, больше информации в этой статье

Ссылка на комментарий
Поделиться на другие сайты
Semens

Semens

Опубликовано
  • Автор
Опубликовано

С вопросом: "Что это такое?" я разобрался... Теперь возникает логический вопрос: Как с этим бороться??? Какие есть фильтры? Особенно буду благодарен за ссылки с практическими советами!

Ссылка на комментарий
Поделиться на другие сайты
Darhazer

Darhazer

Опубликовано
Опубликовано

С вопросом: "Что это такое?" я разобрался... Теперь возникает логический вопрос: Как с этим бороться??? Какие есть фильтры? Особенно буду благодарен за ссылки с практическими советами!

Фильтри - заменить всех специальних html символов

т.е. вместо

echo $_SERVER["HTTP_REFERER"];

пишеш

echo htmlspecialchars($_SERVER["HTTP_REFERER"]);

это конечно если твой сайт на PHP написан

Иначе просто заменяеш < на < и > на > и конечно с ' и " тоже надо осторожно

Ссылка на комментарий
Поделиться на другие сайты
Semens

Semens

Опубликовано
  • Автор
Опубликовано

Честно говоря вопрос у меня возник после прочтения вот этой статьи: http://www.webmascon.com/topics/development/18a.asp

И коментов к ней.

Статья про 404 страницу ошибок.

Ссылка на комментарий
Поделиться на другие сайты
Semens

Semens

Опубликовано
  • Автор
Опубликовано

Ждал помощи от форума, но не дождался... нашел всё сам!

Кстати если у кого возникнут такие же проблемы, вот ссылки:

http://www.rznhost.com/content_showcat-5.html - несколько статей

http://inattack.ru/article/461.html - 3 тип rss атак, через DOM

Я думаю вторая ссылка пригодится и знающим людям.

Всем спасибо.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...