Jump to content

XSS атаки


Recommended Posts

Мне сказали, что возможна XSS атака, т.к. выводится referrer в необработанном виде. Что вообще такое XSS атаки? Какую опасность представляют XSS атаки на скрипт? Как можно предохранится в этом случае от такой безрадостной перспективы? :g:

Заранее благодарю за ответы.

Link to comment
Share on other sites

Что такое вообще - атака, при которой хакер пишет, к примеру, в форму, свой код, и он выполняется при заходе пользователя на страницу.

Чтоб было проще понять: я пишу

<script language-"javascript">alert("HI")</script>

Если бы скрипт форума не был рассчитан на такие попытки взлома, то код бы выполнился, появилась бы табличка, и это была бы xss. Но форум обработал эту строку и ничего не случилось. Жаль :)

Какую опасность представляют XSS атаки на скрипт - иногда просто баловство, вроде появившегося окошка, иногда хакер узнаёт IP для последующих атак, чаще всего - воровство cookies, и, как следствие, получение паролей пользователя к веб-ресурсам.

Как можно предохранится в этом случае от такой безрадостной перспективы - вставить множество проверок получаемых данных.

Это было очень кратенько, больше информации в этой статье

Link to comment
Share on other sites

С вопросом: "Что это такое?" я разобрался... Теперь возникает логический вопрос: Как с этим бороться??? Какие есть фильтры? Особенно буду благодарен за ссылки с практическими советами!

Link to comment
Share on other sites

С вопросом: "Что это такое?" я разобрался... Теперь возникает логический вопрос: Как с этим бороться??? Какие есть фильтры? Особенно буду благодарен за ссылки с практическими советами!

Фильтри - заменить всех специальних html символов

т.е. вместо

echo $_SERVER["HTTP_REFERER"];

пишеш

echo htmlspecialchars($_SERVER["HTTP_REFERER"]);

это конечно если твой сайт на PHP написан

Иначе просто заменяеш < на < и > на > и конечно с ' и " тоже надо осторожно

Link to comment
Share on other sites

Ждал помощи от форума, но не дождался... нашел всё сам!

Кстати если у кого возникнут такие же проблемы, вот ссылки:

http://www.rznhost.com/content_showcat-5.html - несколько статей

http://inattack.ru/article/461.html - 3 тип rss атак, через DOM

Я думаю вторая ссылка пригодится и знающим людям.

Всем спасибо.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...