Semens Posted November 26, 2006 Report Share Posted November 26, 2006 Мне сказали, что возможна XSS атака, т.к. выводится referrer в необработанном виде. Что вообще такое XSS атаки? Какую опасность представляют XSS атаки на скрипт? Как можно предохранится в этом случае от такой безрадостной перспективы? Заранее благодарю за ответы. Link to comment Share on other sites More sharing options...
Lemtoks Posted November 26, 2006 Report Share Posted November 26, 2006 Что такое вообще - атака, при которой хакер пишет, к примеру, в форму, свой код, и он выполняется при заходе пользователя на страницу. Чтоб было проще понять: я пишу <script language-"javascript">alert("HI")</script> Если бы скрипт форума не был рассчитан на такие попытки взлома, то код бы выполнился, появилась бы табличка, и это была бы xss. Но форум обработал эту строку и ничего не случилось. Жаль :) Какую опасность представляют XSS атаки на скрипт - иногда просто баловство, вроде появившегося окошка, иногда хакер узнаёт IP для последующих атак, чаще всего - воровство cookies, и, как следствие, получение паролей пользователя к веб-ресурсам. Как можно предохранится в этом случае от такой безрадостной перспективы - вставить множество проверок получаемых данных. Это было очень кратенько, больше информации в этой статье Link to comment Share on other sites More sharing options...
Semens Posted November 27, 2006 Author Report Share Posted November 27, 2006 С вопросом: "Что это такое?" я разобрался... Теперь возникает логический вопрос: Как с этим бороться??? Какие есть фильтры? Особенно буду благодарен за ссылки с практическими советами! Link to comment Share on other sites More sharing options...
Darhazer Posted November 28, 2006 Report Share Posted November 28, 2006 С вопросом: "Что это такое?" я разобрался... Теперь возникает логический вопрос: Как с этим бороться??? Какие есть фильтры? Особенно буду благодарен за ссылки с практическими советами! Фильтри - заменить всех специальних html символов т.е. вместо echo $_SERVER["HTTP_REFERER"]; пишеш echo htmlspecialchars($_SERVER["HTTP_REFERER"]); это конечно если твой сайт на PHP написан Иначе просто заменяеш < на < и > на > и конечно с ' и " тоже надо осторожно Link to comment Share on other sites More sharing options...
Semens Posted November 28, 2006 Author Report Share Posted November 28, 2006 Честно говоря вопрос у меня возник после прочтения вот этой статьи: http://www.webmascon.com/topics/development/18a.asp И коментов к ней. Статья про 404 страницу ошибок. Link to comment Share on other sites More sharing options...
Semens Posted November 30, 2006 Author Report Share Posted November 30, 2006 Ждал помощи от форума, но не дождался... нашел всё сам! Кстати если у кого возникнут такие же проблемы, вот ссылки: http://www.rznhost.com/content_showcat-5.html - несколько статей http://inattack.ru/article/461.html - 3 тип rss атак, через DOM Я думаю вторая ссылка пригодится и знающим людям. Всем спасибо. Link to comment Share on other sites More sharing options...
iiK Posted December 4, 2006 Report Share Posted December 4, 2006 вот еще любопытная инфа по xss, взята с сайта журнала Хакер http://www.xakep.ru/post/23985/default.asp Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now