webew
Войти » Регистрация
 
Интернет-маркетинг :: SEO
PHP :: безопасность

Расскажите об XSS

14 мая 2008, 6:39
Автор: 1234ru
Коллеги, расскажите немного о технологии XSS - что она позволяет, как реализуется и - самое главное - какие возможности XSS открывает для злоумышленников, какие вещи нужно знать, чтобы содержать сайт в безопасности.
Добавить комментарий
Отображение комментариев: Древовидное | Плоское

bur

http://ru.wikipedia.org/wiki/XSS
14.05.2008, 12:25
Ответить
NO USERPIC

rgbeast

XSS это не протокол, тема перенесена в SEO. Если Вы введете в поиске на уязвимом сайте "колобок", то на странице с результатами поиска будет фраза "По слову колобок найдено 2143 документов". Некоторые злоумышленники вводят <a href="http://kolobok.ru">колобок</a>, и на странице с результатами поиска такого незащищенного сайта появляется гиперссылка. Способ защиты - htmlspecialchars().

Злоумышленники добавляли в яндекс страницу с результатами поиска (устанавливая на нее ссылку, иначе Яндекс не проиндексирует) и получали на себя ссылку с сайта-жертвы.

Сейчас интерес SEO к XSS упал, так как Яндекс перестал ценить таким нечествным путем полученные ссылки http://clubs.ya.ru/4611686018427387938/replies.xml?item_no=5879

Тем не менее, XSS может использоваться для встраивания скрипта, который ворует cookie и.т.д.
14.05.2008, 12:47
Ответить
NO USERPIC

dennis

2rgbeast
> тема перенесена в SEO
это говорит лишь о том, что ты не понимаешь сути XSS. Cross-site scripting имеет к СЕО такое же отношение, как Ангела Меркель к Южносахалинску.

Изучение методов XSS обычно сопряжено с попытками обеспечением безопасности ресурса.
Почитай на досуге википедию
07.12.2008, 11:22
Ответить
NO USERPIC

rgbeast

Сейчас у темы две метки: PHP:безопасность и SEO. Это отвечает тому, что у вопроса две стороны - с точки зрения разработчика - обеспечение безопасности, с точки зрения сеошника - один из черных (серых) методов оптимизации. Изначальная метка "Протоколы" была снята.
07.12.2008, 14:02
Ответить

bur

Статья:
http://www.hackzona.ru/hz.php?name=News&file=article&sid=5005
Более-менее описан принцип работы.
14.05.2008, 12:56
Ответить
NO USERPIC

rgbeast

> http://www.hackzona.ru/hz.php?name=News&file=article&sid=5005

Содержание статьи достаточно сомнительное. Смысл половины устверждений вообще непонятен, например "Всё, что умеют СGI-, РERL-, PHP-, ASР-скрипты. А это - всё что умеет JS + много приятных мелочей.", и все в таком стиле.

Dark side явно не уделяет внимания обучению своих приверженцев, из таких школ выходят профессиональные спаммеры, не знающие, что такое протокол SMTP.
14.05.2008, 13:24
Ответить
Добавить комментарий
Отображение комментариев: Древовидное | Плоское
© 2008—2017 webew.ru, связаться: x собака webew.ru
Сайт использует Flede и соответствует стандартам WAI-WCAG 1.0 на уровне A.
Rambler's Top100

Реклама: