Jump to content
СофтФорум - всё о компьютерах и не только

XSS атаки


Recommended Posts

Мне сказали, что возможна XSS атака, т.к. выводится referrer в необработанном виде. Что вообще такое XSS атаки? Какую опасность представляют XSS атаки на скрипт? Как можно предохранится в этом случае от такой безрадостной перспективы? :g:

Заранее благодарю за ответы.

Link to comment
Share on other sites

Что такое вообще - атака, при которой хакер пишет, к примеру, в форму, свой код, и он выполняется при заходе пользователя на страницу.

Чтоб было проще понять: я пишу

<script language-"javascript">alert("HI")</script>

Если бы скрипт форума не был рассчитан на такие попытки взлома, то код бы выполнился, появилась бы табличка, и это была бы xss. Но форум обработал эту строку и ничего не случилось. Жаль :)

Какую опасность представляют XSS атаки на скрипт - иногда просто баловство, вроде появившегося окошка, иногда хакер узнаёт IP для последующих атак, чаще всего - воровство cookies, и, как следствие, получение паролей пользователя к веб-ресурсам.

Как можно предохранится в этом случае от такой безрадостной перспективы - вставить множество проверок получаемых данных.

Это было очень кратенько, больше информации в этой статье

Link to comment
Share on other sites

С вопросом: "Что это такое?" я разобрался... Теперь возникает логический вопрос: Как с этим бороться??? Какие есть фильтры? Особенно буду благодарен за ссылки с практическими советами!

Link to comment
Share on other sites

С вопросом: "Что это такое?" я разобрался... Теперь возникает логический вопрос: Как с этим бороться??? Какие есть фильтры? Особенно буду благодарен за ссылки с практическими советами!

Фильтри - заменить всех специальних html символов

т.е. вместо

echo $_SERVER["HTTP_REFERER"];

пишеш

echo htmlspecialchars($_SERVER["HTTP_REFERER"]);

это конечно если твой сайт на PHP написан

Иначе просто заменяеш < на < и > на > и конечно с ' и " тоже надо осторожно

Link to comment
Share on other sites

Ждал помощи от форума, но не дождался... нашел всё сам!

Кстати если у кого возникнут такие же проблемы, вот ссылки:

http://www.rznhost.com/content_showcat-5.html - несколько статей

http://inattack.ru/article/461.html - 3 тип rss атак, через DOM

Я думаю вторая ссылка пригодится и знающим людям.

Всем спасибо.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...