| |
|
|
| | Сижу, тестирую нашего нового онлайн-помощника. Суть - вводишь вопрос, запрос обрабатывается методом POST, данные анализируются, страница перегружается и выводится ответ.
Проблема: при обработке не обрабатываются спец. символы html. То есть,
<script>document.write('<img src="http://img.yandex.net/i/logo76x33.gif">')</script>
|
выводит, как ему и положено, логотип Яндекса.
Насколько просто через такого рода дырку докопаться до сервера? Или все нормально? | |
| |
|
|
| |
|
|
| |
для: aexb
(05.08.2007 в 17:01)
| | | XSS.
если код который выводиться пишет кто-то другой, то он может написать туда скрипт, который,к примеру, куки человека, которому потом выведется этот текст, куда-нибудь отправит. если этот текст потом увидит админ то в куках может оказаться инфа необходимая для авторизации. (SESSID или логин к примеру. (есть и такие которые в куках еще и пароли незашифрованные хранят)) | |
| |
|
|
