Fórum Root.cz

Hlavní témata => Vývoj => Téma založeno: Wayne 08. 03. 2011, 23:26:19

Název: K čemu je Cross-Site Scripting?
Přispěvatel: Wayne 08. 03. 2011, 23:26:19

Ahoj, hledal jsem informace o věci, které se říká Cross-Site Scripting (XSS). Pochopil jsem, že přes neošetřený vstup umím u sebe na prohlížeči stránce podstrčit nějaký kód, který se vykoná. Nechápu ale, co s tím dál? Je fajn, že mi na nějaké stránce umí vyskočit okno, nebo pomocí JS umím přepsat všechna slova na stránce na něco jiného, ale jak přesně s tím můžu ohrozit někoho dalšího kromě sebe? Díky za odpověď.

Název: Re: K čemu je Cross-Site Scripting?
Přispěvatel: branchman2 09. 03. 2011, 00:12:19

Ked je persistent - je to zrejme, ze ohrozis vsetkych.

Nie je persistent - posles odkaz, ktory bude mat popisok "Zaujimave foto", niekto sa ho bude snazit otvorit, po kliknuti zabezpecis odoslanie cookies k sebe, cim ziskas moznost sa "prihlasit" ako ten clovek.

Název: Re: K čemu je Cross-Site Scripting?
Přispěvatel: Wayne 09. 03. 2011, 09:25:17

Aha, to s odkazem mě nenapadlo. Nebo by asi bylo možné otevřít tu stránku "na pozadí" třeba v iframe. Dobrá a co znamená to perzistent? Chápu slovo, ale jak se způsobí, že ten problém tam bude trvale?

Název: Re: K čemu je Cross-Site Scripting?
Přispěvatel: branchman2 09. 03. 2011, 10:43:50

Ano, iframe je druha moznost (ale to tiez musis mat pristup k navstivenej stranke).

Persistent = napr. ulozis prispevok do knihy navstev, kde nikto neosetruje specialne znaky html (ako je < alebo >).

Název: Re: K čemu je Cross-Site Scripting?
Přispěvatel: Sten 09. 03. 2011, 14:15:23

Tak třeba se tam může objevit odkaz na „zaručeně fungující Viagru za 1 $“ nebo „Zajímavé foto“, které je ve skutečnosti malware, pěkně zakomponované do textu na stránce. Pro stálé návštěvníky tvé stránky to bude vypadat důvěryhodně.

Název: Re: K čemu je Cross-Site Scripting?
Přispěvatel: Mordae 09. 03. 2011, 17:00:18

Muzes ovladat profil uzivatele na tech strankach. Napriklad mu zmenit heslo na nejake, ktere znas. :-) Staci pres javascript vykonat potrebne akce s jeho session cookie.

Název: Re: K čemu je Cross-Site Scripting?
Přispěvatel: Johny 09. 03. 2011, 17:36:55

Citace: Mordae  09. 03. 2011, 17:00:18

Muzes ovladat profil uzivatele na tech strankach. Napriklad mu zmenit heslo na nejake, ktere znas. :-) Staci pres javascript vykonat potrebne akce s jeho session cookie.

To si pletete s CSRF.
http://www.soom.cz/index.php?name=articles/show&aid=484
http://www.soom.cz/index.php?name=articles/show&aid=382


XSS:
XSS Proxy - http://www.soom.cz/index.php?name=articles/show&aid=476
Možnosti XSS a způsob útoků - http://www.soom.cz/index.php?name=articles/show&aid=485

Pár dalších tipů ohledně zabezpečení webu - http://www.soom.cz/index.php?name=articles/show&aid=512