Zarejestruj się Przypomnij hasło pamiętaj

START [XSS] Ktoś próbował hackować webooka

Artur | Utworzono: 20 I 2010, 19:14:05 (ponad 14 lat temu)
Z ciekawości wpisałem w Bing hasło webook i trafiłem na forum hackerskie gdzie ktoś przedstawił sztuczki jak wykonać atak XSS na webooku Miło co nie?? Połatałem owe błędy, ale nie wiem czy wszystkie. Tyczyły się głównie wyświetlania tekstu w polach wyszukiwania.

Przy okazji odkryłem, że w pewnej opensource'owej klasie epager brakuje zabezpieczenia przez atakami XSS, więc takowe sobie dopisałem.

Musiałem się tym z wami podzielić A teraz więcej szczegółów...


Błąd polegał na tym, że jeśli do pola wyszukiwania wkleimy
">< script>alert('hacked');< /script> (bez spacji w script)
to wywoła się funkcja Javascript i wyskoczy okienko z napisem hacked. Także można później zamiast tej funkcji napisać coć innego, np. wykradanie ciasteczek użytkownika. Następnie wystarczy zwabić ofiarę aby weszła na spreparowany link i wykraść dane umożliwiające zalogowanie się na jej konto.

Warto zwrócić uwagę, że jeśli ktoś wykradłby takie ciasteczko to wystarczy, że użytkownik wyloguje się, wtedy sesja wygaśnie i ciasteczko będzie bezużyteczne.

Także jakby ktoś jeszcze trafił na tagi bug na stronie to proszę mnie informować postaram się zabezpieczyć.
(wypowiedź modyfikowana: 20 I 2010, 19:17:00)
Odp: 0, Odsłon: 1048, Ostatni post: brak

Odpowiedzi do tematu

Brak odpowiedzi do tego tematu...

Grupa: Oficjalna grupa webook.pl

Oficjalna grupa webook.pl Organizujemy tutaj konkursy. Jest to także grupa, w której można zgłaszać pomysły odnośnie portalu webook.pl. Tutaj zgłosisz nam duplikaty książek lub autorów. Możecie tutaj śmiało pisać o waszych spostrzeżeniach odnośnie projektu webook.
Typ grupy: Otwarta
Dołączenie: każdy może dołączyć
Założyciel: Artur
Utworzono: 06 IX 2009, 21:16:29
(ponad 15 lat temu)
Kategoria: Pozostałe (grup: 9)
Tematów: 86
Członkowie: 435 (pokaż członków grupy)

Dyskusję obserwują

Użytkownicy obserwujący dyskusję (1):

Informacja podświetlona na zielono oznaczają, że użytkownik widział wszystkie nowe posty w tym temacie. Natomiast informacja czerwona oznacza, że jeszcze nie czytał najnowszych postów.

przeczytał
Artur

Menu

Szukaj. Aby znaleźć grupę lub temat wybierz jedną z kategorii poniżej, a nad listą grup/tematów będzie widoczne pole wyszukiwania.
START: Kategorie grup

Nowe grupy dyskusyjne
    - Nowo dodane tematy
    - Nowe wypowiedzi w tematach

Ranking tagów opisujących grupy