Комментарии 16
Очень полезно и интересно, спасибо.
0
НЛО прилетело и опубликовало эту надпись здесь
киньте уже готовый вариант в архиве) чтоб какуюнибуть txt копировал)
-6
Изящно!
+2
лакончино, просто, грамотно.
респект.
респект.
+1
Вот ведь попал я! Не было мне никакого дела до этого XSS. Теперь меня заинтриговали, придется разбираться, что это такое. Спасибо за публикацию, будет мне гимнастика для ума :)
0
XSS - достаточно уже известная и распространенная уязвимость, расшифровывающаяся как Cross Site Scripting. Суть метода в атаке не на сервер а сразу на клиента, за счет уязвимости сервера, путем подстановки "ядовитого" скрипта. Представляет из себя довольно не сложную, с точки зрения защиты от нее, уязвимость, однако, в случае ее обнаружения, может иметь достаточно серьезные последствия(в зависимости от конкретного случая).
На данный момент, пожалуй, вторая по популярности уязвимость серверных движков после примитивной SQL inj о которой уже не раз писалось.
PS: За пост спасибо - код интересен, заплюсовал бы при возможности.
На данный момент, пожалуй, вторая по популярности уязвимость серверных движков после примитивной SQL inj о которой уже не раз писалось.
PS: За пост спасибо - код интересен, заплюсовал бы при возможности.
+1
И, кстати, защититься от нее(уязвимости) со стороны клиента можно банальным отключением обработки скриптов в браузере
0
Банальным ?:)
Добрая половина ресурсов окажется фактически неработоспособной при выключенных скриптах. Не говоря уже о том, чо большая часть пользователей не способна что-либо отключить:)
Этот способ подходит, скорее, для экстренных случаев. Когда знаешь куда идешь :)
Добрая половина ресурсов окажется фактически неработоспособной при выключенных скриптах. Не говоря уже о том, чо большая часть пользователей не способна что-либо отключить:)
Этот способ подходит, скорее, для экстренных случаев. Когда знаешь куда идешь :)
0
Да это верно. Это из ряда спаси себя сам - помните пословицу "спасение утопающих..."?
Но тут скорее следует не отключать целенаправленно(когда знаешь куда идешь), а наоборот включать при посещении доверенных ресурсов. Но делать это вручную каждый раз как минимум утомительно, а потому в каждом браузере есть white/black листы посещаемых ресурсов. Например, в Firefox`e ведение таких листов и контроль за исполняемыми скриптами реализуется на уровне очень удобного плагина NoScript.
Но тут скорее следует не отключать целенаправленно(когда знаешь куда идешь), а наоборот включать при посещении доверенных ресурсов. Но делать это вручную каждый раз как минимум утомительно, а потому в каждом браузере есть white/black листы посещаемых ресурсов. Например, в Firefox`e ведение таких листов и контроль за исполняемыми скриптами реализуется на уровне очень удобного плагина NoScript.
0
Угу, FF преуспел в плане маленьких полезных плюшек :)
носкрипт не использовал, теперь - планирую установить на свой лис, спасибо)
носкрипт не использовал, теперь - планирую установить на свой лис, спасибо)
0
одна маленькая XSS-уязвимость легко и просто превращает белый и пушистый сайт в черный и страшный.
Вопрос к тем, кто отключает скрипты на страницах - а вам вообще не страшно, что ваш компьютер к сети подключен?
Вопрос к тем, кто отключает скрипты на страницах - а вам вообще не страшно, что ваш компьютер к сети подключен?
0
Нет, не страшно, и разговор шел не об этом. Разговор, именно, о нецелесообразности отключения в ожидании постоянной угрозы.
Но статистика говорит о том что есть люди шарящиеся без js, но это уже, имхо, паранойя.
А вообще, ситаации когда нужно отключить скрипты на лету у меня возникают. Не знаю как у вас.
Но статистика говорит о том что есть люди шарящиеся без js, но это уже, имхо, паранойя.
А вообще, ситаации когда нужно отключить скрипты на лету у меня возникают. Не знаю как у вас.
0
У меня еще куки отключены. А если надо расставляю исключения.
FF (CookieSafe)
FF (CookieSafe)
0
НЛО прилетело и опубликовало эту надпись здесь
Интересно, как на скрипт реагирует Опера. В условиях конкурса о ней, как всегда, забыли =(
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
XSS-червь: кто меньше?