Регистрация
Вход через соцсети
Восстановление пароля

межсайтовый скриптинг

Новый топик
03.04.2006, 23:43
Ответить | Цитировать
Гость
Гость

сделал себе на сайте Форму обратной связи (шаблон входил в состав системы). Для этого я создал раздел feedback с дейсвием по умолчанию - Добавлние.
Но при проверки сайта на уязвимость обнаружил такую вещь:
введя адрес feedback/?cc=62&sub=170&catalogue=1&posting=1&f_Name=XSS%40<xscript>XSS</xscript>.com&f_Email=ptxscan%2Dprof%40MjE3LjE2LjMxLjEzMA.com&f_Subject=1&f_Date_day=02&f_Date_month=04&f_Date_year=2006&f_Date_hours=08&f_Date_minutes=22&f_Date_seconds=10&f_Message=1

на странице вижу:
Спасибо, XSS@XSS.com, ваше письмо отправлено.

можно ли так атаковать сайт?
03.04.2006, 23:45
Ответить | Цитировать
Гость
Гость

простите, в коде сайта вижу: Спасибо, XSS@<xscript>XSS</xscript>.com, ваше письмо отправлено.
04.04.2006, 00:01
Ответить | Цитировать
Гость
Гость

В принципе можно. Я уже давно говорю, что неплохо было бы к штатным функционалам системы добавить графическую защиту форм. Там кода-то всего ничего...
04.04.2006, 11:11
Ответить | Цитировать
Гость

Зарегистрирован:
1970-01-01
Сообщений: 665

Атаковать сайт вряд ли. Скорее, теоретически, возможно просто испортить каую-то страницу, в которую открыто добавление информации для всех. Например, гостевая книга. Но переменные полей шаблона проходят обработку и возвращают на страницу на совсем не оригинальный код, а что-то типа:

Код:
XSS@&lt;xscript&gt;XSS&lt;/xscript&gt;.com
04.04.2006, 17:04
Ответить | Цитировать
Гость
Гость

у меня прям в html коде написано <xscript>XSS</xscript>...ну раз вы говорите, что это не страшно, то ладно
18.04.2006, 19:11
Ответить | Цитировать
Гость
Гость

Произвести атаку и взять скажем хэш вполне реально.
09.10.2006, 09:35
Ответить | Цитировать
Гость
Гость

MipH писал(а):
Атаковать сайт вряд ли. Скорее, теоретически, возможно просто испортить каую-то страницу


а кстати порча страницы называется дефейсом )))
а это и есть атака
09.10.2006, 14:08
Ответить | Цитировать
n

Зарегистрирован:
2006-08-04
Сообщений: 170

Дефейс гостевой книги... Что может быть страшнее!
198 196 2006-10-09 14:08:02 8487
Описание проекта