NOVINKA - Online rekvalifikační kurz Java programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
NOVINKA – Víkendový online kurz Software tester, který tě posune dál. Zjisti, jak na to!

Diskuze: Zneužití obrany proti XSS v chrome

V předchozím kvízu, Online test znalostí JavaScript, jsme si ověřili nabyté zkušenosti z kurzu.

Aktivity
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:21.10.2015 18:13

Zdar!
Kamarád si vytvořil stránky, a já na nich našel slabinu v XSS. Když jsem mu chtěl ukázat, jak to funguje, zjistil jsem, že Chrome podle URL adresy dokáže rozpoznat, že se jedná o XSS útok a takový podstrčený kód na stránce zablokuje.

Tak mě napadlo, že bych mohl zkusit podstrčit parametr do URL adresy s obsahem nějakého skriptu na stránce a Chrome si bude myslet, že se jedná o XSS a takový kód na stránce zablokuje. Myslíte, že by se toho dalo zneužít?

Ukázka s ITnetworkem - vyřazení JQuery.
http://www.itnetwork.cz/?…

Editováno 21.10.2015 18:14
Odpovědět
21.10.2015 18:13
Neaktivní uživatelský účet
Avatar
shaman
Člen
Avatar
Odpovídá na Neaktivní uživatel
shaman:22.10.2015 11:47

V podstate dokazes takto vypnut spustenie nejakeho js suboru vo svojom browseri.

Hmm, netusim ako by sa toto dalo zneuzit. Ovlyvnujes len seba a nie server, ten to nijako neovplyvni. Ak by si takyto link niekde zakvacil a niekto iny by nan klikol, tak by to mal zablokovane tiez len do prveho prekliku. Zneuzit sa da vselico, ale nenapada ma vyuzitie tohoto.

Nahoru Odpovědět
22.10.2015 11:47
try {...} catch (Exception ignored) { echo " ¯\_(ツ)_/¯ "; }
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.