Расскажите об XSS
14 мая 2008, 6:39
Автор: 1234ru
Коллеги, расскажите немного о технологии XSS - что она позволяет, как реализуется и - самое главное - какие возможности XSS открывает для злоумышленников, какие вещи нужно знать, чтобы содержать сайт в безопасности.
|
|
burhttp://ru.wikipedia.org/wiki/XSSFastcoder.org — портал для JavaScrpt-программистов
|
14.05.2008, 12:25 Ответить |
|
NO USERPIC
|
rgbeastXSS это не протокол, тема перенесена в SEO. Если Вы введете в поиске на уязвимом сайте "колобок", то на странице с результатами поиска будет фраза "По слову колобок найдено 2143 документов". Некоторые злоумышленники вводят <a href="http://kolobok.ru">колобок</a>, и на странице с результатами поиска такого незащищенного сайта появляется гиперссылка. Способ защиты - htmlspecialchars().Злоумышленники добавляли в яндекс страницу с результатами поиска (устанавливая на нее ссылку, иначе Яндекс не проиндексирует) и получали на себя ссылку с сайта-жертвы. Сейчас интерес SEO к XSS упал, так как Яндекс перестал ценить таким нечествным путем полученные ссылки http://clubs.ya.ru/4611686018427387938/replies.xml?item_no=5879 Тем не менее, XSS может использоваться для встраивания скрипта, который ворует cookie и.т.д. |
14.05.2008, 12:47 Ответить |
|
NO USERPIC
|
dennis2rgbeast> тема перенесена в SEO это говорит лишь о том, что ты не понимаешь сути XSS. Cross-site scripting имеет к СЕО такое же отношение, как Ангела Меркель к Южносахалинску. Изучение методов XSS обычно сопряжено с попытками обеспечением безопасности ресурса. Почитай на досуге википедию |
07.12.2008, 11:22 Ответить |
|
NO USERPIC
|
rgbeastСейчас у темы две метки: PHP:безопасность и SEO. Это отвечает тому, что у вопроса две стороны - с точки зрения разработчика - обеспечение безопасности, с точки зрения сеошника - один из черных (серых) методов оптимизации. Изначальная метка "Протоколы" была снята. |
07.12.2008, 14:02 Ответить |
|
|
burСтатья:http://www.hackzona.ru/hz.php?name=News&file=article&sid=5005 Более-менее описан принцип работы. Fastcoder.org — портал для JavaScrpt-программистов
|
14.05.2008, 12:56 Ответить |
|
NO USERPIC
|
rgbeast> http://www.hackzona.ru/hz.php?name=News&file=article&sid=5005Содержание статьи достаточно сомнительное. Смысл половины устверждений вообще непонятен, например "Всё, что умеют СGI-, РERL-, PHP-, ASР-скрипты. А это - всё что умеет JS + много приятных мелочей.", и все в таком стиле. Dark side явно не уделяет внимания обучению своих приверженцев, из таких школ выходят профессиональные спаммеры, не знающие, что такое протокол SMTP. |
14.05.2008, 13:24 Ответить |
© 2007—2010 webew.ru, связаться: x собака webew.ru
Сайт использует Flede и соответствует стандартам WAI-WCAG 1.0 на уровне A.
Сайт использует Flede и соответствует стандартам WAI-WCAG 1.0 на уровне A.
