Создание web сайтов, магазинов на cms НЕТКАТ, обсуждение; межсайтовый скриптинг

← на Главную / Разработчикам / Форум / Разработка сайта

межсайтовый скриптинг

		03.04.2006, 23:43
	Гость Гость	сделал себе на сайте Форму обратной связи (шаблон входил в состав системы). Для этого я создал раздел feedback с дейсвием по умолчанию - Добавлние. Но при проверки сайта на уязвимость обнаружил такую вещь: введя адрес feedback/?cc=62&sub=170&catalogue=1&posting=1&f_Name=XSS%40<xscript>XSS</xscript>.com&f_Email=ptxscan%2Dprof%40MjE3LjE2LjMxLjEzMA.com&f_Subject=1&f_Date_day=02&f_Date_month=04&f_Date_year=2006&f_Date_hours=08&f_Date_minutes=22&f_Date_seconds=10&f_Message=1 на странице вижу: Спасибо, XSS@XSS.com, ваше письмо отправлено. можно ли так атаковать сайт?
		03.04.2006, 23:45
	Гость Гость	простите, в коде сайта вижу: Спасибо, XSS@<xscript>XSS</xscript>.com, ваше письмо отправлено.
		04.04.2006, 00:01
	Гость Гость	В принципе можно. Я уже давно говорю, что неплохо было бы к штатным функционалам системы добавить графическую защиту форм. Там кода-то всего ничего...
		04.04.2006, 11:11
	Гость Зарегистрирован: 1970-01-01 Сообщений: 665	Атаковать сайт вряд ли. Скорее, теоретически, возможно просто испортить каую-то страницу, в которую открыто добавление информации для всех. Например, гостевая книга. Но переменные полей шаблона проходят обработку и возвращают на страницу на совсем не оригинальный код, а что-то типа: Код: XSS@<xscript>XSS</xscript>.com
		04.04.2006, 17:04
	Гость Гость	у меня прям в html коде написано <xscript>XSS</xscript>...ну раз вы говорите, что это не страшно, то ладно
		18.04.2006, 19:11
	Гость Гость	Произвести атаку и взять скажем хэш вполне реально.
		09.10.2006, 09:35
	Гость Гость	MipH писал(а): Атаковать сайт вряд ли. Скорее, теоретически, возможно просто испортить каую-то страницу а кстати порча страницы называется дефейсом ))) а это и есть атака
		09.10.2006, 14:08
	n Зарегистрирован: 2006-08-04 Сообщений: 170	Дефейс гостевой книги... Что может быть страшнее!