Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 23
Спасибо автору за статью :)
ещё можно попробовать через «third party cookies»
в мозилле также работает передача через plain-text и xslt
в мозилле также работает передача через plain-text и xslt
К каждому методу бы наглядную реализацию — было б супер!
Вообще было бы неплохо еще во вступлении написать что такое XSS. Ценность статьи бы резко повысилась.
Если не ошибаюсь, IE8 имеет реализацию XSS XHR.
Есть тестирование IE8. О XHR там нет ничего. :|
www.securitylab.ru/analytics/363593.php
www.securitylab.ru/analytics/363593.php
>Создается тэг iframe, вешаются эвенты, изменяется src – все, поехал запрос.
>Данные приходят в тело документа iframe.
>Извлекаются данные из contentWindow.
Если src на другой домен, то js не достучится до содержимого contentWindow по политике безопастности.
>Через тэг script
…
>идет извлечение данных из его тела.
как? знаю способ только для оперы.
>Затем через DOM достаем все, что после about:blank.
А вот это очень интересно!
>Данные приходят в тело документа iframe.
>Извлекаются данные из contentWindow.
Если src на другой домен, то js не достучится до содержимого contentWindow по политике безопастности.
>Через тэг script
…
>идет извлечение данных из его тела.
как? знаю способ только для оперы.
>Затем через DOM достаем все, что после about:blank.
А вот это очень интересно!
Спасибо за коменты. Уточнил статью на счет извлечение кода javascript.
Надо покопать исходники фаербага и узнать как достает то, что лежит в ифрэйме (его код — тот же javascript). Правда у него права могуть быть рутовые )
Надо покопать исходники фаербага и узнать как достает то, что лежит в ифрэйме (его код — тот же javascript). Правда у него права могуть быть рутовые )
ну, если в iframe скрипт запускает postMessage то почему бы и загружаемый через тег script код не выполнил бы вызов нужной ф-ции и не послал бы в нее данные. вполне удобный способ и везде работает.
Про Flash <-> JavaScript
Вот описание www.inattack.ru/article/572.html
Вот пример eyeonsecurity.org/advisories/flash-demo/demo1.html если подождать выдаёт алерты
Вот описание www.inattack.ru/article/572.html
Вот пример eyeonsecurity.org/advisories/flash-demo/demo1.html если подождать выдаёт алерты
ээээх, а я думал тут о хакерстве будет :(
может напишите продолжение, как от каждого метода защититься?
спасибо.
спасибо.
Почему не упомянули postMessage() API из HTML 5 (кстати, поддерживается в FF 3.0.X)
ejohn.org/blog/cross-window-messaging/
ejohn.org/blog/cross-window-messaging/
Особо широко используются методы 2 и 7.
Использование скриптов называется JSONP и его давно предлагают в своих публичных API Google и Yahoo.
Для более безопасной поддержки последних запросов Клокфорд несколько лет назад предложил JSONRequest
Использование скриптов называется JSONP и его давно предлагают в своих публичных API Google и Yahoo.
Для более безопасной поддержки последних запросов Клокфорд несколько лет назад предложил JSONRequest
не плохой материал, хотя и не ново…
кстати, не пойму, почему не используют более понятный термин CSS (Cross Site Scripting), чем непонятное обозначение XSS
кстати, не пойму, почему не используют более понятный термин CSS (Cross Site Scripting), чем непонятное обозначение XSS
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Мирный XSS