azproduction Dec 6 2008 at 23:24

Мирный XSS

3 min

JavaScript*

+76

Comments 23

321 Dec 6 2008 at 23:55

Спасибо автору за статью :)

tenshi Dec 7 2008 at 00:08

ещё можно попробовать через «third party cookies»

в мозилле также работает передача через plain-text и xslt

azproduction Dec 7 2008 at 00:26

Решил проверить насчет чужих кукисов.
Зашел в фаерфоксе на хабр, сбросил весь кэш. Просмотрщик кусисов сообщает, что были установлены куки с body.imho.ru (NGUserID), видимо через баннер.
Проверка javascript:alert(document.cookie) обнаружила только местные.

tenshi Dec 7 2008 at 00:57

очевидно для этого домена не прописана p3p политика
www.w3.org/TR/P3P11/#cookies

nayjest Dec 7 2008 at 00:15

К каждому методу бы наглядную реализацию — было б супер!

si1v3r Dec 7 2008 at 00:23

Вообще было бы неплохо еще во вступлении написать что такое XSS. Ценность статьи бы резко повысилась.

bolk Dec 7 2008 at 00:47

Если не ошибаюсь, IE8 имеет реализацию XSS XHR.

TheBits Dec 7 2008 at 01:59

Есть тестирование IE8. О XHR там нет ничего. :|
www.securitylab.ru/analytics/363593.php

bolk Dec 7 2008 at 11:18

Вот, например: magmainteractive.net/weblogs/post/Internet-Explorer-8-and-Cross-domain-Requests.aspx

den1234554321 Dec 7 2008 at 01:34

>Создается тэг iframe, вешаются эвенты, изменяется src – все, поехал запрос.
>Данные приходят в тело документа iframe.
>Извлекаются данные из contentWindow.

Если src на другой домен, то js не достучится до содержимого contentWindow по политике безопастности.

>Через тэг script
…
>идет извлечение данных из его тела.

как? знаю способ только для оперы.

>Затем через DOM достаем все, что после about:blank.
А вот это очень интересно!

azproduction Dec 7 2008 at 02:23

Спасибо за коменты. Уточнил статью на счет извлечение кода javascript.
Надо покопать исходники фаербага и узнать как достает то, что лежит в ифрэйме (его код — тот же javascript). Правда у него права могуть быть рутовые )

dnabyte Dec 7 2008 at 02:46

Расширения для FF имеют права сравнимые с правами самого FF.

Regis Dec 7 2008 at 02:55

Ну не то чтобы совсем рутовые, но всё же JS скрипты плагинов в FF имеют более высокие права, чем JS скрипты на сайтах.

DnKrozz Dec 8 2008 at 03:11

ну, если в iframe скрипт запускает postMessage то почему бы и загружаемый через тег script код не выполнил бы вызов нужной ф-ции и не послал бы в нее данные. вполне удобный способ и везде работает.

dnabyte Dec 7 2008 at 01:51

Про Flash <-> JavaScript
Вот описание www.inattack.ru/article/572.html
Вот пример eyeonsecurity.org/advisories/flash-demo/demo1.html если подождать выдаёт алерты

ppbimix Dec 7 2008 at 02:42

ээээх, а я думал тут о хакерстве будет :(

kellas Dec 7 2008 at 02:45

может напишите продолжение, как от каждого метода защититься?
спасибо.

kellas Dec 7 2008 at 02:46

прошу прощения, не вник сразу в статью, перечитал, понял, ещё раз спасибо!

xonix Dec 7 2008 at 04:08

Почему не упомянули postMessage() API из HTML 5 (кстати, поддерживается в FF 3.0.X)
ejohn.org/blog/cross-window-messaging/

azproduction Dec 7 2008 at 11:29

Спасибо за дополнение. Классифицировал этот метод, как «Через iframe».
Хорошо, когда статья дополняется другими.

Gospodin Dec 7 2008 at 13:46

К тому же еще и обещают поддержать в IE8, единственное что его реализации слегка рознятся в разных браузерах и их версиях, ибо используют разные версии черновика HTML5 спецификации.

art_orlov Dec 8 2008 at 10:04

Особо широко используются методы 2 и 7.

Использование скриптов называется JSONP и его давно предлагают в своих публичных API Google и Yahoo.

Для более безопасной поддержки последних запросов Клокфорд несколько лет назад предложил JSONRequest

MpaK999 Dec 8 2008 at 11:23

не плохой материал, хотя и не ново…
кстати, не пойму, почему не используют более понятный термин CSS (Cross Site Scripting), чем непонятное обозначение XSS