Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 16
Очень полезно и интересно, спасибо.
киньте уже готовый вариант в архиве) чтоб какуюнибуть txt копировал)
Изящно!
лакончино, просто, грамотно.
респект.
респект.
Вот ведь попал я! Не было мне никакого дела до этого XSS. Теперь меня заинтриговали, придется разбираться, что это такое. Спасибо за публикацию, будет мне гимнастика для ума :)
XSS - достаточно уже известная и распространенная уязвимость, расшифровывающаяся как Cross Site Scripting. Суть метода в атаке не на сервер а сразу на клиента, за счет уязвимости сервера, путем подстановки "ядовитого" скрипта. Представляет из себя довольно не сложную, с точки зрения защиты от нее, уязвимость, однако, в случае ее обнаружения, может иметь достаточно серьезные последствия(в зависимости от конкретного случая).
На данный момент, пожалуй, вторая по популярности уязвимость серверных движков после примитивной SQL inj о которой уже не раз писалось.
PS: За пост спасибо - код интересен, заплюсовал бы при возможности.
На данный момент, пожалуй, вторая по популярности уязвимость серверных движков после примитивной SQL inj о которой уже не раз писалось.
PS: За пост спасибо - код интересен, заплюсовал бы при возможности.
И, кстати, защититься от нее(уязвимости) со стороны клиента можно банальным отключением обработки скриптов в браузере
Банальным ?:)
Добрая половина ресурсов окажется фактически неработоспособной при выключенных скриптах. Не говоря уже о том, чо большая часть пользователей не способна что-либо отключить:)
Этот способ подходит, скорее, для экстренных случаев. Когда знаешь куда идешь :)
Добрая половина ресурсов окажется фактически неработоспособной при выключенных скриптах. Не говоря уже о том, чо большая часть пользователей не способна что-либо отключить:)
Этот способ подходит, скорее, для экстренных случаев. Когда знаешь куда идешь :)
Да это верно. Это из ряда спаси себя сам - помните пословицу "спасение утопающих..."?
Но тут скорее следует не отключать целенаправленно(когда знаешь куда идешь), а наоборот включать при посещении доверенных ресурсов. Но делать это вручную каждый раз как минимум утомительно, а потому в каждом браузере есть white/black листы посещаемых ресурсов. Например, в Firefox`e ведение таких листов и контроль за исполняемыми скриптами реализуется на уровне очень удобного плагина NoScript.
Но тут скорее следует не отключать целенаправленно(когда знаешь куда идешь), а наоборот включать при посещении доверенных ресурсов. Но делать это вручную каждый раз как минимум утомительно, а потому в каждом браузере есть white/black листы посещаемых ресурсов. Например, в Firefox`e ведение таких листов и контроль за исполняемыми скриптами реализуется на уровне очень удобного плагина NoScript.
Угу, FF преуспел в плане маленьких полезных плюшек :)
носкрипт не использовал, теперь - планирую установить на свой лис, спасибо)
носкрипт не использовал, теперь - планирую установить на свой лис, спасибо)
одна маленькая XSS-уязвимость легко и просто превращает белый и пушистый сайт в черный и страшный.
Вопрос к тем, кто отключает скрипты на страницах - а вам вообще не страшно, что ваш компьютер к сети подключен?
Вопрос к тем, кто отключает скрипты на страницах - а вам вообще не страшно, что ваш компьютер к сети подключен?
Нет, не страшно, и разговор шел не об этом. Разговор, именно, о нецелесообразности отключения в ожидании постоянной угрозы.
Но статистика говорит о том что есть люди шарящиеся без js, но это уже, имхо, паранойя.
А вообще, ситаации когда нужно отключить скрипты на лету у меня возникают. Не знаю как у вас.
Но статистика говорит о том что есть люди шарящиеся без js, но это уже, имхо, паранойя.
А вообще, ситаации когда нужно отключить скрипты на лету у меня возникают. Не знаю как у вас.
У меня еще куки отключены. А если надо расставляю исключения.
FF (CookieSafe)
FF (CookieSafe)
Интересно, как на скрипт реагирует Опера. В условиях конкурса о ней, как всегда, забыли =(
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
XSS-червь: кто меньше?