|
|
|
|
![]()
ъъъ
Профессионал |
Зарегистрирован: 07.08.2006
Сообщений: 663
|
Обратиться по нику
|
|
|
|
![]()
chubaka
Свой |
Зарегистрирован: 20.05.2007
Сообщений: 32
|
Обратиться по нику
|
| chubaka |
Ответить с цитатой | | |
|
объясню человеческими словами:
XSS - когда ты можешь выполнять HTML код на чужой странице, через плохую фильтровку входных данных
спам через XSS - не скажу  сам думай  |
|
|
|
|
|
|
![]()
Taburetkin
Гуру |
Зарегистрирован: 25.02.2007
Сообщений: 1426
|
Обратиться по нику
|
| Taburetkin |
Ответить с цитатой | | |
|
XSS расшифровывается как Сross Site Sсriрting "межсайтовый скриптинг".
XSS – это уязвимость на сервере, позволяющая внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код путём передачи его в качестве значения нефильтруемой переменной.
xttp://phpclub.ru/faq/wakka.php?wakka=XSS |
|
|
|
|
|
|
![]()
Rabbit
Кролики - это не только ценный мех |
Зарегистрирован: 01.08.2005
Сообщений: 19787
|
Обратиться по нику
|
| Rabbit |
Ответить с цитатой | | |
|
ъъъ, опередил  Мне тоже эта тема интересна. Говорят сейчас она очень активно используется. |
|
|
|
|
|
Новое. Прибыльное. Скоро!
|
![]()
Кирилл +
Опытный |
Зарегистрирован: 18.04.2007
Сообщений: 160
|
Обратиться по нику
|
|
|
|
![]()
Rabbit
Кролики - это не только ценный мех |
Зарегистрирован: 01.08.2005
Сообщений: 19787
|
Обратиться по нику
|
| Rabbit |
Ответить с цитатой | | |
|
| Кирилл писал(а): |
|
Да, очень активно, только это взлом
|
 ай! я не знала что это взлом :beee: :beee: :beee: |
|
|
|
|
|
Новое. Прибыльное. Скоро!
|
![]()
Taburetkin
Гуру |
Зарегистрирован: 25.02.2007
Сообщений: 1426
|
Обратиться по нику
|
|
|
|
![]()
Fisherman
Опытный |
Зарегистрирован: 16.03.2007
Сообщений: 187
|
Обратиться по нику
|
|
|
|
![]()
Miku +
Опытный |
Зарегистрирован: 09.06.2007
Сообщений: 132
|
Обратиться по нику
|
|
|
|
![]()
ъъъ
Профессионал |
Зарегистрирован: 07.08.2006
Сообщений: 663
|
Обратиться по нику
|
| ъъъ |
Ответить с цитатой | | |
|
Хуясе...Эта штука позволяет сканировать локальную сеть (ХЗ для чего это нужно), ломать почту, форумы, гесты, а в совокупности с эскуэлинъекшн, так апще...чудеса.
Думаю, что это не полный список возможностей межсайтового скриптинга.
Не знал, не знал...
И, если я правильно понял, для юзания этой технологии нужна юних-система.
на закрытых?
Вводим:intext:"how to use XSS"
и читаем, например это:
hackthissite.org/articles/read/23
+++
и еще с этой XSS каким то макаром связана вот эта аббревиатурка: CSRF (sitepoint.com/newsletter/viewissue.php?id=3&issue=144#7).
и напоследок, совсем свежая инфа:
searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/0,289625,sid14_gci1243797,00.html
shiflett.org/blog/2007/mar/allowing-html-and-preventing-xss
lists.w3.org/Archives/Public/public-wsc-wg/2007Apr/0079.html
seoblackhat.com/2005/09/26/inbound-link-authority-sites-exploit/
ha.ckers.org/blog/20060608/xss-redirects-and-seo/
seoblackhat.com/category/xss-cross-site-scripting/
ha.ckers.org/redirects/redirect.user.js
blog.v7n.com/2006/06/13/xss-redirects-seo/
seoblackhat.com/category/xss-cross-site-scripting/
Ну я все сказал. Наводочку дал. Самому эта тема не особо интересна(т.к. оказалось, что связана со взломом), поэтому больше в этом топике постить не буду. |
|
Последний раз редактировалось: ъъъ (Вс Июл 01, 2007 4:20 pm), всего редактировалось 2 раз(а) |
|
|
|
|
|
![]()
ъъъ
Профессионал |
Зарегистрирован: 07.08.2006
Сообщений: 663
|
Обратиться по нику
|
| ъъъ |
Ответить с цитатой | | |
|
|
Последний раз редактировалось: ъъъ (Вс Июл 01, 2007 2:43 pm), всего редактировалось 2 раз(а) |
|
|
|
|
|
![]()
smeshnoj +
Профессионал |
Зарегистрирован: 21.01.2007
Сообщений: 679
|
Обратиться по нику
|
|
|
|
![]()
StepBy
Опытный |
Зарегистрирован: 29.06.2007
Сообщений: 279
|
Обратиться по нику
|
| StepBy |
Ответить с цитатой | | |
|
XSS это взлом.
Часто поисковики это хавают, иногда нет.
XSS это плохо.
XSS просто нужно знать об этом, чтобы предохранять свой сайт от атак, потому,
что при плохой фильтрации, позволяющей этот самый XSS,
возможно не бек-только ссылками баловаться,
но а также взять под управление сайт ( группу сайтов ), чужой e-mail box, гостевую книгу,
и наконец вот этот форум.
XSS это отдельная, большая и практически безграничная тема, где фантазиям нет предела.
Особенно подвержены XSS продукты с открытым програмным кодам (CMS, форумы, блоги);
Практически, в каждом сайте есть XSS-дыра, нужно просто поискать получше |
|
|
|
|
|
|
![]()
Taburetkin
Гуру |
Зарегистрирован: 25.02.2007
Сообщений: 1426
|
Обратиться по нику
|
| Taburetkin |
Ответить с цитатой | | |
|
Самое смешное, так получилось что default инсталяция phpbb не подвержена XSS атакам.
Т.к.
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> этот таг у них стоял в самом начале страницы. чего не скажешь про другие форум движки
Кстати для админов - поменяйте тег <title> тег кодировки местами |
|
|
|
|
|
|
|
|
