Semens Опубликовано 26 ноября, 2006 Жалоба Поделиться Опубликовано 26 ноября, 2006 Мне сказали, что возможна XSS атака, т.к. выводится referrer в необработанном виде. Что вообще такое XSS атаки? Какую опасность представляют XSS атаки на скрипт? Как можно предохранится в этом случае от такой безрадостной перспективы? Заранее благодарю за ответы. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Lemtoks Опубликовано 26 ноября, 2006 Жалоба Поделиться Опубликовано 26 ноября, 2006 Что такое вообще - атака, при которой хакер пишет, к примеру, в форму, свой код, и он выполняется при заходе пользователя на страницу. Чтоб было проще понять: я пишу <script language-"javascript">alert("HI")</script> Если бы скрипт форума не был рассчитан на такие попытки взлома, то код бы выполнился, появилась бы табличка, и это была бы xss. Но форум обработал эту строку и ничего не случилось. Жаль :) Какую опасность представляют XSS атаки на скрипт - иногда просто баловство, вроде появившегося окошка, иногда хакер узнаёт IP для последующих атак, чаще всего - воровство cookies, и, как следствие, получение паролей пользователя к веб-ресурсам. Как можно предохранится в этом случае от такой безрадостной перспективы - вставить множество проверок получаемых данных. Это было очень кратенько, больше информации в этой статье Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Semens Опубликовано 27 ноября, 2006 Автор Жалоба Поделиться Опубликовано 27 ноября, 2006 С вопросом: "Что это такое?" я разобрался... Теперь возникает логический вопрос: Как с этим бороться??? Какие есть фильтры? Особенно буду благодарен за ссылки с практическими советами! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Darhazer Опубликовано 28 ноября, 2006 Жалоба Поделиться Опубликовано 28 ноября, 2006 С вопросом: "Что это такое?" я разобрался... Теперь возникает логический вопрос: Как с этим бороться??? Какие есть фильтры? Особенно буду благодарен за ссылки с практическими советами! Фильтри - заменить всех специальних html символов т.е. вместо echo $_SERVER["HTTP_REFERER"]; пишеш echo htmlspecialchars($_SERVER["HTTP_REFERER"]); это конечно если твой сайт на PHP написан Иначе просто заменяеш < на < и > на > и конечно с ' и " тоже надо осторожно Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Semens Опубликовано 28 ноября, 2006 Автор Жалоба Поделиться Опубликовано 28 ноября, 2006 Честно говоря вопрос у меня возник после прочтения вот этой статьи: http://www.webmascon.com/topics/development/18a.asp И коментов к ней. Статья про 404 страницу ошибок. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Semens Опубликовано 30 ноября, 2006 Автор Жалоба Поделиться Опубликовано 30 ноября, 2006 Ждал помощи от форума, но не дождался... нашел всё сам! Кстати если у кого возникнут такие же проблемы, вот ссылки: http://www.rznhost.com/content_showcat-5.html - несколько статей http://inattack.ru/article/461.html - 3 тип rss атак, через DOM Я думаю вторая ссылка пригодится и знающим людям. Всем спасибо. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
iiK Опубликовано 4 декабря, 2006 Жалоба Поделиться Опубликовано 4 декабря, 2006 вот еще любопытная инфа по xss, взята с сайта журнала Хакер http://www.xakep.ru/post/23985/default.asp Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.