|
|
|
|
|
Собственно интересуют вопросы:
-что такое XSS
-спам через XSS |
|
|
|
|
|
объясню человеческими словами:
XSS - когда ты можешь выполнять HTML код на чужой странице, через плохую фильтровку входных данных
спам через XSS - не скажу  сам думай  |
|
|
|
|
|
XSS расшифровывается как Сross Site Sсriрting "межсайтовый скриптинг".
XSS – это уязвимость на сервере, позволяющая внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код путём передачи его в качестве значения нефильтруемой переменной.
xttp://phpclub.ru/faq/wakka.php?wakka=XSS |
|
|
|
|
|
ъъъ, опередил  Мне тоже эта тема интересна. Говорят сейчас она очень активно используется. |
|
|
|
|
|
| Да, очень активно, только это взлом |
|
|
|
|
|
| Кирилл писал(а): |
|
Да, очень активно, только это взлом
|
 ай! я не знала что это взлом :beee: :beee: :beee: |
|
|
|
|
|
|
|
| Есть такое дело, Очень интересная тема. |
|
|
|
|
|
| На некоторых закрытых форумах XSS обсуждают |
|
|
|
|
|
Хуясе...Эта штука позволяет сканировать локальную сеть (ХЗ для чего это нужно), ломать почту, форумы, гесты, а в совокупности с эскуэлинъекшн, так апще...чудеса.
Думаю, что это не полный список возможностей межсайтового скриптинга.
Не знал, не знал...
И, если я правильно понял, для юзания этой технологии нужна юних-система.
на закрытых?
Вводим:intext:"how to use XSS"
и читаем, например это:
hackthissite.org/articles/read/23
+++
и еще с этой XSS каким то макаром связана вот эта аббревиатурка: CSRF (sitepoint.com/newsletter/viewissue.php?id=3&issue=144#7).
и напоследок, совсем свежая инфа:
searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/0,289625,sid14_gci1243797,00.html
shiflett.org/blog/2007/mar/allowing-html-and-preventing-xss
lists.w3.org/Archives/Public/public-wsc-wg/2007Apr/0079.html
seoblackhat.com/2005/09/26/inbound-link-authority-sites-exploit/
ha.ckers.org/blog/20060608/xss-redirects-and-seo/
seoblackhat.com/category/xss-cross-site-scripting/
ha.ckers.org/redirects/redirect.user.js
blog.v7n.com/2006/06/13/xss-redirects-seo/
seoblackhat.com/category/xss-cross-site-scripting/
Ну я все сказал. Наводочку дал. Самому эта тема не особо интересна(т.к. оказалось, что связана со взломом), поэтому больше в этом топике постить не буду. |
|
Последний раз редактировалось: ъъъ (Вс Июл 01, 2007 4:20 pm), всего редактировалось 2 раз(а) |
|
|
|
|
|
Последний раз редактировалось: ъъъ (Вс Июл 01, 2007 2:43 pm), всего редактировалось 2 раз(а) |
|
|
|
|
| я дважды дважды не повторяю? |
|
|
|
|
|
XSS это взлом.
Часто поисковики это хавают, иногда нет.
XSS это плохо.
XSS просто нужно знать об этом, чтобы предохранять свой сайт от атак, потому,
что при плохой фильтрации, позволяющей этот самый XSS,
возможно не бек-только ссылками баловаться,
но а также взять под управление сайт ( группу сайтов ), чужой e-mail box, гостевую книгу,
и наконец вот этот форум.
XSS это отдельная, большая и практически безграничная тема, где фантазиям нет предела.
Особенно подвержены XSS продукты с открытым програмным кодам (CMS, форумы, блоги);
Практически, в каждом сайте есть XSS-дыра, нужно просто поискать получше |
|
|
|
|
|
Самое смешное, так получилось что default инсталяция phpbb не подвержена XSS атакам.
Т.к.
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> этот таг у них стоял в самом начале страницы. чего не скажешь про другие форум движки
Кстати для админов - поменяйте тег <title> тег кодировки местами |
|
|
|
|
|
|
|
|
