| |
|
|
| | Собсна, это очередная дырочка для xss атаки.
На данном конкретном сервере она не проходит, но дыра присутствует. Как видно, в заголовок окна пролезла строка в utf7. Причем, до явного определения кодировки. Так что если бы сервер не был настроен на определенную кодировку, то IE бы выполнил вредоносный код на клиенте. | |
| |
|
|
| |
|
|
| |
для: Loki
(17.08.2006 в 17:58)
| | | А копирайт указать?! :))) | |
| |
|
|
| |
|
|
| |
для: Loki
(17.08.2006 в 17:58)
| | | А я вижу обычные данные в ascii. и utf-7 они станут не раньше, чем кто-то скажет, что это данные в utf-7. | |
| |
|
|
| |
|
|
| |
для: Trianon
(17.08.2006 в 18:24)
| | | Ну это не мы придумали :) Это классика XSS взлома. | |
| |
|
|
| |
|
|
| |
для: Trianon
(17.08.2006 в 18:24)
| | | Дырка находится в IE старых версий (в 6 вроде уже нет). Если не указана явным образом кодировка, то броузер считает что кодировка UTF7, пока не убедится в обратном. Сейчас дырку в форуме поправили - появился метатег, определяющий кодировку до тега title (в который я и поместил код), а если этого не сделать и разместить форум, например, на иностраном сервере (или сервере не передающем явным образом кодировку через HTTP Content-Type), то код получается вполне рабочий.
PS За желание раскурочить форум - благодарить Акиру:) | |
| |
|
|
