|
| |
|
|
| |
для: kail_braslovski
(30.01.2007 в 17:16)
| | | http://old.antichat.ru/crackchat/HTML/
http://bugtraq.ru/library/www/xssanatomy.html | |
| |
|
|
| |
|
|
| |
для: mindless
(30.01.2007 в 13:47)
| | | а можно конкретнее на примере | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(29.01.2007 в 19:51)
| | | Есть хорошая книга PHP5 на примерах Авторы Кузнецов М. Симдянов И. Голышев С. Игорь Симдянов как я понимаю, здесь cheops может если мы его попросим поместит статью на основе глав этой книги
на этом сайте. По-моему это будет не плохая PR-акция. ;-) | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(29.01.2007 в 19:51)
| | | Есть хорошая книга PHP5 на примерах Авторы Кузнецов М. Симдянов И. Голышев С. Игорь Симдянов как я понимаю, здесь cheops может если мы его попросим поместит статью на основе глав этой книги
на этом сайте. По-моему это будет не плохая PR-акция. ;-) | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(30.01.2007 в 13:42)
| | | Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск
XSS — (англ. Сross Site Sсriрting) — межсайтовый скриптинг, тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путем конструирования специального URL, который атакующий ппредъявляет своей жертве. Иногда для термина используют сокращение CSS, но, чтобы не было путаницы с каскадными таблицами стилей, используют сокращение XSS.
Условно, XSS можно разделить на активные и пассивные. При активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта. Пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется некое дополнительное действие, которые должен выполнить браузер жертвы (например клик по специально сформированной ссылке). | |
| |
|
|
| |
|
|
| |
для: cheops
(30.01.2007 в 00:51)
| | | А что такое XSS-уязвимость? | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(29.01.2007 в 17:54)
| | | Да собственно без разницы что использовать cookie или сессию (так как SID всё-равно через cookie передаётся и его тоже можно украсть), лишь бы не было XSS-уязвимостей, позволяющих осуществлять воровство cookie. Loki хочет сказать, что даже если сессия будет украдена, злоумышленик не получит пароль, так как данные сессии хранятся на сервере и время жизни сессии ограничено. | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(29.01.2007 в 17:54)
| | | Ну помогите кто-нить... | |
| |
|
|
| |
|
|
| |
для: Loki
(29.01.2007 в 16:34)
| | | А как по вашему грамотно сделать сессии? | |
| |
|
|
| |
|
|
| |
для: bronenos
(29.01.2007 в 15:42)
| | | Самое главное - куки можно украсть. А сессию, если все грамотно сделано - нет. | |
| |
|
|
|
