|
| |
|
|
| |
для: Trianon
(18.05.2007 в 11:19)
| | | Наверняка не знаю. Просто когда я пытался использовать пример подобной атаки на своем сервере, ничего у меня не вышло - ie использовать 7 битную кодировку ни в какую не хотел. Вот я и решил что дело в заголовках сервера, так как больше в броузер ничего не передавалось. | |
| |
|
|
| |
|
|
| |
для: Саша
(18.05.2007 в 14:50)
| | | Если хотите поговорить об XSS, открывайте отдельную тему в форуме "Разное."
Чтобы не мешеть все подряд, думаю так будет лучше. ;-) | |
| |
|
|
| |
|
|
| |
для: Valick
(18.05.2007 в 15:35)
| | | >Между прочим, мы тут вроде как на форуме php
>
>Алягер ком алягер... некоторым индивидумам пользующим такого рода атаки, глубоко по-барабану на каком форуме это обсуждается...
>поэтому тему надо раскрыть как можно полнее.
А вот тут я соглашусь со вторым - вытертым - постом. одной темой всего не раскроешь.
Вреда от такой мешанины будет явно больше чем пользы. | |
| |
|
|
| |
|
|
| |
для: Trianon
(18.05.2007 в 14:36)
| | | Между прочим, мы тут вроде как на форуме php
Алягер ком алягер... некоторым индивидумам пользующим такого рода атаки, глубоко по-барабану на каком форуме это обсуждается... поэтому тему надо раскрыть как можно полнее. | |
| |
|
|
| |
|
|
| |
для: mefestofel
(18.05.2007 в 12:04)
| | | Что же вы такой нервный? Уже не первый раз проявляете агрессию. Лечитесь. | |
| |
|
|
| |
|
|
| |
для: mefestofel
(18.05.2007 в 13:56)
| | | А как предотвратить эти?
- XSS-нападение с использованием UTF-7 кодировки.
- XSS-нападение с помощью метода TRACE. - экзотика, да? зато работает
- XSS нападение через data
Можно ссылку где это описано? | |
| |
|
|
| |
|
|
| |
для: mefestofel
(18.05.2007 в 13:56)
| | | Между прочим, мы тут вроде как на форуме php....
Дайте, пожалуйста, определение XSS-атаки.
А то странно как-то получается. Вроде о чем-то говорим, а о чем - не ведаем. | |
| |
|
|
| |
|
|
| |
для: mefestofel
(18.05.2007 в 13:56)
| | | Хотелось бы уточнить... с помощью HTML или JavaScript кода? | |
| |
|
|
| |
|
|
| |
для: Саша
(17.05.2007 в 19:54)
| | | > Достаточно ли использовать htmlspecialchars для удаления возможности быть атакованым xss методом.
НЕТ НЕ ДОСТАТОЧНО
"ВАШ XSS-МЕТОД":
- XSS-нападение с использованием UTF-7 кодировки.
- XSS-нападение с помощью метода TRACE. - экзотика, да? зато работает
- XSS нападение через data
- XSS-нападение через Flash-анимаци. - ActionScript.
- XSS-DOM
- использование ошибок и критических уязаимостей в ПО для проведения XSS.
- .........
и т.д.
Достаточно только для:
- XSS-нападения с помощью вставки HTML-кода | |
| |
|
|
| |
|
|
| |
для: Loki
(18.05.2007 в 11:05)
| | | UTF-7 - RFC2152
Вот Вам код в UTF-7 кодировке:
+ADwA-script+AD4A-alert('XSSEnabled+ACEA-')+ADwA-/script+AD4A-
Посмотрите на заголовок страницы и сравните с названием темы, если ввести эту гадость в строке url, то Вы либо ничего не получите, либо получите набор иероглифов(код исходной строки).
Но необходимо еще условие: это определение кодировки после отображения титула, если кодировка не определена то браузеры подбирают ее автоматически.
. Такое можно периодически встретить на некоторых форумах интернета, например YaBB(скачайте его себе и пытайте на здоровье), если в поле 'тема' вставить подобный код, то при определенном стечении обстоятельств можно многое получить...
>В русскоязычном сегменте инета, как мне кажется, это редкость.
Не согласен
Браузер Mozilla для этих целей не подходит. | |
| |
|
|
|
