Avatar
Fredep
Redaktor
Avatar
Fredep:

Zdar!
Kamarád si vytvořil stránky, a já na nich našel slabinu v XSS. Když jsem mu chtěl ukázat, jak to funguje, zjistil jsem, že Chrome podle URL adresy dokáže rozpoznat, že se jedná o XSS útok a takový podstrčený kód na stránce zablokuje.

Tak mě napadlo, že bych mohl zkusit podstrčit parametr do URL adresy s obsahem nějakého skriptu na stránce a Chrome si bude myslet, že se jedná o XSS a takový kód na stránce zablokuje. Myslíte, že by se toho dalo zneužít?

Ukázka s ITnetworkem - vyřazení JQuery.
http://www.itnetwork.cz/?…

Editováno 21.10.2015 18:14
Odpovědět  +2 21.10.2015 18:13
Týmová práce je důležitá proto, aby bylo možno obvinit z neúspěchu někoho jiného.
Avatar
shaman
Člen
Avatar
Odpovídá na Fredep
shaman:

V podstate dokazes takto vypnut spustenie nejakeho js suboru vo svojom browseri.

Hmm, netusim ako by sa toto dalo zneuzit. Ovlyvnujes len seba a nie server, ten to nijako neovplyvni. Ak by si takyto link niekde zakvacil a niekto iny by nan klikol, tak by to mal zablokovane tiez len do prveho prekliku. Zneuzit sa da vselico, ale nenapada ma vyuzitie tohoto.

Nahoru Odpovědět 22.10.2015 11:47
try {...} catch (Exception ignored) { echo " ¯\_(ツ)_/¯ "; }
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.