По вашим суждениям жертва авторизована на неуязвимом сайте, который подвержен CSRF уязвимости.
Просто CSRF уязвимости, можно сказать, подвержены все сайты по умолчанию и считаются неуязвимыми :) Но, да, Вы правы, немножко неправильно сформулировал свою мысль.
Нередким вариантом является XSS и CSRF на одном и том же хосте.
Да, согласен.
Также ничего не сказано про DOM-based XSS
Это, по сути, пассивная уязвимость, поэтому я особо не акцентировал на ней внимание, но да, следовало все таки о ней упомянуть.
Да, работает. Я чуть ниже уже это написал. Видимо где-то ошибся в коде, валидатором не проверил, а так как остальные браузеры прятали кнопку, то грешил на одну только Оперу :)
К сожалению, вариант не кроссбраузерный… Не работает в IE. В Опере не работает display: none; для кнопки (видимо из соображений безопасности). Фактически нормально работает только в Gecko и Webkit.
А нет… Извините, ошибся. Ваше решение и решение insa не работает в Опере. В Опере даже display: none; для кнопки не работает, видимо из соображений безопасности. Фактически нормально работает только в Firefox.
Просто CSRF уязвимости, можно сказать, подвержены все сайты по умолчанию и считаются неуязвимыми :) Но, да, Вы правы, немножко неправильно сформулировал свою мысль.
Да, согласен.
Это, по сути, пассивная уязвимость, поэтому я особо не акцентировал на ней внимание, но да, следовало все таки о ней упомянуть.
en.wikipedia.org/wiki/Cross-site_request_forgery
yandex.ru/search.php?q=%3C%73%63%72%69%70%74%3E%3C%2F%73%63%72%69%70%74%3E
чем
hackersite.com/yandex-xss.php
ведь нужна переадресация с сайта злоумышленника.
хотя можно использовать домен сильно напоминающий оригинальный
wwwyandex.ru
yondex.ru
что тоже может остаться незамеченым
> Для упрощения линии питания, стабилизатор и колодка ISP на схеме не показаны.
Хотелось бы все-таки инструкцию для таких чайников как я :)
С полной схемой и пошагово :)
транзисторов — 3
резисторов — 4
конденсаторов — 0
тогда как, на фотографии готовой платы:
транзисторов — 4
резисторов — 4
конденсаторов — 1
либо схема не та, либо фотография :)
Да, спасибо, я погорячился, есть ведь замечательный метод:
replaceChild(newChild, oldChild)
класс (если может использоваться несколько) можно проверять регулярным выражением приблизительно так
(^|\s)class(\s|$)
А name можно отправлять (если есть такая необходимость) создавая по нажатию на ссылку скрытый параметр.
Кстати, не понимаю в чем проблема, но у меня display: none; в Опере то работает, то не работает. Видимо что-то я перемудрил :)