Hledáš dárek, který neskončí v koši? Nyní 90 % extra kreditů ZDARMA s promo kódem PREKVAPENI90. Zjisti více:
NOVINKA: Staň se datovým analytikem od 0 Kč a získej jistotu práce, lepší plat a nové kariérní možnosti. Více informací:
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:21.10.2015 18:13

Zdar!
Kamarád si vytvořil stránky, a já na nich našel slabinu v XSS. Když jsem mu chtěl ukázat, jak to funguje, zjistil jsem, že Chrome podle URL adresy dokáže rozpoznat, že se jedná o XSS útok a takový podstrčený kód na stránce zablokuje.

Tak mě napadlo, že bych mohl zkusit podstrčit parametr do URL adresy s obsahem nějakého skriptu na stránce a Chrome si bude myslet, že se jedná o XSS a takový kód na stránce zablokuje. Myslíte, že by se toho dalo zneužít?

Ukázka s ITnetworkem - vyřazení JQuery.
http://www.itnetwork.cz/?…

Editováno
Odpovědět
21.10.2015 18:13
Neaktivní uživatelský účet
Avatar
shaman
Člen
Avatar
Odpovídá na Neaktivní uživatel
shaman:22.10.2015 11:47

V podstate dokazes takto vypnut spustenie nejakeho js suboru vo svojom browseri.

Hmm, netusim ako by sa toto dalo zneuzit. Ovlyvnujes len seba a nie server, ten to nijako neovplyvni. Ak by si takyto link niekde zakvacil a niekto iny by nan klikol, tak by to mal zablokovane tiez len do prveho prekliku. Zneuzit sa da vselico, ale nenapada ma vyuzitie tohoto.

Nahoru Odpovědět
22.10.2015 11:47
try {...} catch (Exception ignored) { echo " ¯\_(ツ)_/¯ "; }
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.