Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Программная инженерия > Безопасность, Шифрование
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 15.01.2011, 00:35   #1
4epT
Новичок
Джуниор
 
Регистрация: 15.01.2011
Сообщений: 2
По умолчанию XSS атаки

Добрый день! Изучаю сейчас возможности XSS атак, в общем все понятно .. но есть парочку вопросов которые абсолютно не понимаю =( Вот собственно они:

1) XSS это внедрение каких либо скриптов в веб страницы, но что бы эти скрипты выполнялись на компьютерах клиентов нужно модифицировать страницы сайта,а именно получить доступ к серверу и изменить эти страницы. Я правильно понял ? Это таки делается ?

2) Можно формировать свои ссылки, например на форуме оставить сообщение с "опасной" ссылкой в который GET параметром передать какой то скрипт или редирект на какуюто опасную страницу. Этот вид атаки популярен ? и правильно ли я его понял ?

3) Читал что при помощи этой атаки можно украсть куки ... Но по сути мы можем украсть куки только на локальной машине, а тогда какой в этом смысл ?

Ответьте пожалуйста на выше перечисленные вопросы) и если не сложно объясните в двух словах как и что ...
Буду признателен если приведете пример использования таких атак.

Изучаю это не с целью взлома, а с целью защитить свой сайт и собственно протестировать от таких атак.

Спасибо!
4epT вне форума Ответить с цитированием
Старый 16.01.2011, 19:20   #2
zotox
Форумчанин
 
Регистрация: 09.09.2008
Сообщений: 395
По умолчанию

Цитата:
XSS это внедрение каких либо скриптов в веб страницы
Верно.

Цитата:
нужно модифицировать страницы сайта
Не совсем, как правило информация на страницу выводится из БД. Т.е. достаточно занести какую нибуть XSS в БД.
zotox вне форума Ответить с цитированием
Старый 18.01.2011, 12:55   #3
4epT
Новичок
Джуниор
 
Регистрация: 15.01.2011
Сообщений: 2
По умолчанию

Цитата:
Сообщение от zotox Посмотреть сообщение
Верно.


Не совсем, как правило информация на страницу выводится из БД. Т.е. достаточно занести какую нибуть XSS в БД.
к примеру выполнить какой нибудь PHP скрипт с SQL запросом ?
4epT вне форума Ответить с цитированием
Старый 18.01.2011, 15:15   #4
Stilet
Белик Виталий :)
Старожил
 
Аватар для Stilet
 
Регистрация: 23.07.2007
Сообщений: 57,792
По умолчанию

Ну да. Или я бы сказал шелл-код.
I'm learning to live...
Stilet вне форума Ответить с цитированием
Старый 19.01.2011, 10:58   #5
Пепел Феникса
Старожил
 
Аватар для Пепел Феникса
 
Регистрация: 28.01.2009
Сообщений: 21,000
По умолчанию

Цитата:
Читал что при помощи этой атаки можно украсть куки ... Но по сути мы можем украсть куки только на локальной машине, а тогда какой в этом смысл ?
а смысл в том что имея куки на многие сайты можно зайти от имени пользователя у которого их свистнули.
Хорошо поставленный вопрос это уже половина ответа. | Каков вопрос, таков ответ.
Программа делает то что написал программист, а не то что он хотел.
Функции/утилиты ждут в параметрах то что им надо, а не то что вы хотите.
Пепел Феникса вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Ajax и XSS CraZZy RabbIt JavaScript, Ajax 4 30.03.2010 22:16
Автоматизированный поиск SQL и XSS-уязвимостей Lazar Безопасность, Шифрование 1 21.07.2009 06:36
Глюки или хакерские атаки продолжаются?... Air Свободное общение 10 05.11.2008 22:07
Атаки на сервера Pblog Обсуждение статей 0 27.05.2007 02:13
сетевые атаки Lolita Работа с сетью в Delphi 0 02.12.2006 15:18