[о чем?]
В последнее время все больше и больше говорят о том что эта уязвимость себя изжила, что она не опасна, бессмыслена наконец и поэтому нет смылса обращать на нее пристальное внимание, в.т.ч и администраторм. Одним словом некоторый контингент говорит о том что XSS сечас не являеться реальной угрозой!
Однако такие суждения как : не опасна, ничего им не сделаешь и.т.п на фоне происходящего выглядят как бы немного самонадеянными, если не сказать грубее. То что XSS очень опасная атака, спомощью которой можно, как завладеть куками юзера на портале платной музыки, так и выполнить код на компьютере жертвы, а так же приимущества и способы реализации XSS были показаны такими людьми как Zadoxlik, Ls01r, и другими представителями хак-фронта. Я даже не говорю о том насколько опасны активные XSS. Почему же при всех этих несомненных приимуществах XSS находяться люди(причем порой достаточно авторитетные) которые считают эту уязвимость вчерашним днем?
[main]
В февральском номере журнала Хакер. Спец(кстати последнего выпуска журнала). По этому вопросу был опрошен ряд авторитетных людей, собственно вопрос звучал так:
Xss- реальная угроза или слабое место пофигистов?

Валерия Комиссарова:На мой взгляд, проблема XSS достаточно серьозна и распространена, чтобы не принимать ее во внимание. И масштабы этой "эпидемии" заставляют говорить об XSS как о значительной, а не об очередной PR-придумки

Михаил Фленов:Сверхугрозой я бы эту атаку не назвал.<...>Все это невнимательность или ламерство програмистов<...>.

Антон Карпов: Любая проблема безопастности возникает под действием человеческого фактора<...> Учитывая растущую популярность XSS-атак я бы не назвал это слабым местом пофигистов, во всяком случае, тогда бы нам пришлось признать, что пофигистов в мире очень и очень много =)

Крис Касперски:<...>В лучшем случае, злоумышленник получает доступ к кукисам(хранящим массу конфиденциальной информации). В худшем же-полностью захватывает управление удаленной машиной. Это вполне серьозная угроза, с которой необходимо считаться.

Вот собсвенно такого мнения предерживаються господа с весьма весомым именем в сети. Лично мне больше всего близка позиция Криса Касперски.
Однако я не стал замыкаться на своем мнение и провел опрос среди людей с которыми я общаюсь в ICQ. Вопрос я поставил следующим образом: Считаете ли вы XSS фактически бесполезной уязвимостью. Итог: 11\7 в пользу XSS =). Но все же чуть меньше половины опрошенных отвернулись от межсайтового-скриптинга. Один из опрошенных высказал очень правельную мысль: что любой уязвимостью надо ументь грамотно распорядиться и тогда она превращаеться в очень серьозную угрозу, я склонен с ним согласиться, ведь, на мой взгляд, отсюда и все проблемы: из-за недостаточного понимания уязвимости, нежелания ее изучить и возникают такие суждения: мол, я не знаю этой баги, значит она бесполезна, значит и защищаться от нее не надо. Но этот подход в корне неправельный.
Кстати классическим примером такого отношения к сути дела стал администратор сервиса РОЛ, который даже после того как LS01r написал статью и даже СНЯЛ ВИДИО!!! про использовании XSS на его портале не закрыл ни одну из сущетвующих баг! Например одна из них:
http://photo.rol.ru/showgallery.php?si=%22%3E%3C%2Ftd%3E%3Cscript%3Eal ert%28%27xss%27%29%3C%2Fscript%3E&perpage=12&sort=1&cat=all&ppuser=

[итого]:
В итоге, уважаемые Античатовцы, я бы хотел задать вопрос вам: Считаете ли вы XSS реальной угрозой или полагаете что эта бага почти бесполезна? Прошу вас не давать односложных ответов, а аргументровать вашу позицию.

P.S Выражаю благодарность всем принявшим участие в моем опросе, журналу Хакер. Спец. Помните, что это не более чем мое и впоследствие ваше субьективное мнение. Спасибо за внимание

считаю серьезной уязвимостью, так как через нее получалось и провайдеров взламывать и обьяснить им их ошибку и как это исправлять =)

Xss была есть и будет есть,точнее кормить=)

при взломе - она важна. При защите - на нее плюют. Такая вот заморочка.
Ди и случай на случай не приходится.

И помоему ты малось разделом ошибся. Это для флейма, но никак не для "Защита компьютера и анонимность в сети."

Считаю серьезной уязвимостью, потому что с помощью нее не один сайт был взломан.

Xss - это полезная бага, но все зависит от конкретного случая, но чаще всего хорошо помогает.

Серьезной уязвимостью XSS быть не может по определению, потому как направлена на "клиента" всегда. Безусловно, с помощью XSS были реализованы многие взломы, однако опять повторюсь: это было лишь первой ступенью, а именно получение конфеденциальной информации (пароль/хэш пароля в кукисах). Хотя если целью было завладение только лишь этими данными, то это единственная ступень =).Тем более XSS обычно браузерозависима, так что ни одна уязвимость этого класса не дает 100% пробивки.

Отдал голос "Эта уязвимость вчерашний день, но все-таки иногда актуальная". Всем известно, что с совершенствованием меча совершенствуется и щит. Сегодня мы можем наблюдать, как щит становится все крепче, а меч остается все тем же ... Попробуйте, например, с помощью XSS завладеть моим аккаунтом на этом форуме. Могу вас уверить, что успех будет бесконечно далек ...

Если других вариантов нет, то xss... кста, с помощью неё и троянить народ мона)

Если других вариантов нет, то xss... кста, с помощью неё и троянить народ мона)
тоха, еси расскажешь поподробрнее или ссыль подкинешь то цены те не будет))

p.s. голосавать, так как xss ниразу ниюзал, хотя многое о ней слышал

Если других вариантов нет, то xss... кста, с помощью неё и троянить народ мона)
Я думаю что ты имеешь ввиду редирект на "необходимую" страничку ... ;)

[о чем?]
В последнее время все больше и больше говорят о том что эта уязвимость себя изжила, что она не опасна, бессмыслена наконец и поэтому нет смылса обращать на нее пристальное внимание, в.т.ч и администраторм.Во первых, что уязв. себя изжила начали говорить еще много лет назад, до того как я сюда пришел, до того, как мы придумали функционал, вложенные/спаренные теги, до того, как пользователей mail.ru каждый день кто-то по новой баге натягивал, до того, как каждую неделю, экперты со всего мира, бежали на этот форм за новым адвисом в очередном форуме, чтоб предрать его в свой багтрак, и что самое интересное, те кто говорил что бага изжила свое, всетаки пордолжали говорить об этом все это время, закрывая глаза на неимоерные результаты("мол, я не знаю этой баги, значит она бесполезна, значит и защищаться от нее не надо." вот такие вот это люди, кто так говорил, такие вот эксперты). Но только зачем обращать на таких людей внимание, которые только и говорят, 3 года они просто чесали языки, когда мы работали, и действительно, ru/ua показали, что в мире, мы действительно на вершине, мы раскрутили данный вид атак на сверх высокий уровень. А они все говорят-говорят и вообще ничего кроме этого не делают.... хех, ну и пусть, раз мозгов больше ни на что нету.
Второе, так говорит тот, кто с ней никогда не сталкивался, или не ощутил ее результатов, по большей части из-за непорффесионализма взломщика. Почему же при всех этих несомненных приимуществах XSS находяться люди(причем порой достаточно авторитетные) которые считают эту уязвимость вчерашним днем?ну конечно, атака на пользователей их сайта, а не на сам сайт, разве является проблемой. К тому же они не сталкивались с очень серьезными XSS, благодаря которым, могут и денежки с кошелька уплыть, и сайт задефейситсо активом.
Крис Касперски:<...>В лучшем случае, злоумышленник получает доступ к кукисам(хранящим массу конфиденциальной информации). В худшем же-полностью захватывает управление удаленной машиной. Это вполне серьозная угроза, с которой необходимо считаться.+1
любой уязвимостью надо ументь грамотно распорядиться и тогда она превращаеться в очень серьозную угрозу, я склонен с ним согласиться, ведь, на мой взгляд, отсюда и все проблемы: из-за недостаточного понимания уязвимости, нежелания ее изучить и возникают такие суждения: мол, я не знаю этой баги, значит она бесполезна, значит и защищаться от нее не надо. +111111111111111111111
Если других вариантов нет, то xss... кста, с помощью неё и троянить народ мона)ога-ога



Че, насчет меча не прав, насчет форуа прав )), а насчет меча не прав. Пример, вспомни пхпбб, сначала были xss в простых бб тегах, залатали, потом вложенные, залатали, потом вложенные 3 и 4-ные, которые придумал WJ. В любом случае, взлом от защиты не намного уж и отстает. Еще больше прикол в том, что каждый из нас знает как сделать так, чтоб невозможно было взломать ниодин форум, только опять же к нашему мнению никто не прислушивается, как и прежде. А зачем, XSS это же безделушка для младших класов....вот так и живем ))


C[]R3, ну блин, в код страницы внедряются вредоносные элементы/програмы/скрипты, которые при просмотре страницы пользователем троянят его, вот и все, если уж оч. просто.

знает как сделать так, чтоб невозможно было взломать ниодин форум,
либо я не понял смысла/направления фразы, либо ты что-то загнул.

Abra перечитай всю фразу человек говорит о том, что хакера не надо ненавидеть, а что к нему надо прислущиваться, тот кто учиться на своих ошибках- умен, дурак же так и будет считать что уязвимость "безделушка для младших классов" Классический пример приведен: Администратор РОЛа @Andy.
2PinkPanther Спасибо за очень развернутый комментарий, плюс поставил, жалко что тему выкинули в зону с отключенным счетчиком

Abra перечитай всю фразу человек говорит о том, что хакера не надо ненавидеть, а что к нему надо прислущиваться
А, ну это безусловно. Программисты всегда считают что они умнее хакеров и прекрасно разбираются в том что пишут => не допускают дыр. Про простых админов которые начинают вопить какой ты плохой и нехороший, после того как ты показал им дыру в их проекте, я вообще молчу.
Спасибо за разъяснение.

c[]r3, ну блин, в код страницы внедряются вредоносные элементы/програмы/скрипты, которые при просмотре страницы пользователем троянят его, вот и все, если уж оч. просто.
да это я понял, линк бы кто дал с примерами таких скриптов =\

Constantine тебе спасибо, за отличную тему для размышлений!!

и кстати незабывайте, именно блягодаря XSS, Куваев словил огромнейщий депресняк и чуть не убил Масяню в свое время))[a-chat], именно блягодаря XSS, было украдено около ляма акков livejournal[a-chat], именно блягодаря XSS, на MySpace появился первый в мире XSS червь, который непонятно почему, принес ей норм. убытков, ибо добавление себя в друзья, скриптом, они считают злостным досом)), именно блягодаря XSS, стало возможно без брута взломать фтп акк на народе, нм.ру, почте.ру[a-chat], именно блягодаря XSS, несколько моих элит уинов забанили(icq.com)[a-chat])), именно блягодаря XSS, я заработал в сети свой первый американский шекель[a-chat], именно блягодаря XSS.... и т.д. вобщем. Так что никак не соглашусь с тем, кто говорит что бага несерьезная. Да, в основном она направлена на пользователя, но как говорил Митник, человек самое слабое звено в системе защиты, и посему если взлом на систему должен быть осуществлен дальше, а дырок больше нету, то почему бы и не воспользоватся этим звеном!! Да и к тому же, с другой стороны, сейчас тенденция хэк комерции какраз и направлена на атаку именно на пользователей.

C[]R3
http://www.gnucitizen.org/categories/projects
http://www.gnucitizen.org/categories/projects/page/2/
/3/...
блин я думал уже были такие темы на ачате =(
придётся как обычно всё самому разруливать :)

Xss - рулила и будит рулить.

вчера с Айсом на эту тему говорили, помойму "Эта уязвимость вчерашний день, но все-таки иногда актуальная"

* Эта уязвимость вчерашний день, но все-таки иногда актуальная

помоему XSS - это самый гибкий типа атаки. разновидностей много у нее всяких.
вообщем через эти иксэсэс и ломают всякие серьезные порталы, т.к. их можно встретить в любом месте сайта. но серьезной угрозой все-таки это не назвать потому что всё это ***ня.

*Эта уязвимость вчерашний день, но все-таки иногда актуальная

я так ответил. Хотя при складывании определенных условий - эта атака становиться опаснее инклуда и инжекшена. При условии, что у тя есть сплоет под нужный броузер конечно ;) А если у тебя есть этот сплоет и активная xss на майл - можно протроянить пол страны и тебя даже не заметят ).
Короче в большинстве случаев - безполезна. Но при складывании определенных условий - становиться термоядом

xss рулит))) Дырки... Вон в соседний теме кто-то xss в нашей планете нашёл) Увязимость планеты)

А так я ответил за

*Эта уязвимость вчерашний день, но все-таки иногда актуальная

Я, не подумав, ответил "Эта уязвимость вчерашний день, но все-таки иногда актуальная", но, поразмыслив, понял, что ХСС в наше время доволько актуальная уязвимость.

XSS которая влечёт за собой последовательную работу с переменной (например вывод её на экран другим пользователям, запись в базу и тп) она опасна, а остальные почему то я думаю фильтровать не обязательно, только взгляните:
<?php
if(isset($_GET['gg']))
{
echo($_GET['gg']);
}
else
{
echo 'server need a command';
}
?>
скрипт выводит на экран содержимое переменной, чем он может быть опасен? Да ничем, всё что туда введено будет обрабатываться как string а не как php код, запросы типа ?gg=<script>*** ничего не принесут т.к. другие это не увидят, запросы вида ?gg=';?>/?gg=']);?%3E тоже ничего не дадут так как обработаются как string, вот так вот.

блять тема 2007 года нахуиа так делать?

GrinGoO, извините я по поиску её нашёл

XSS которая влечёт за собой последовательную работу с переменной (например вывод её на экран другим пользователям, запись в базу и тп) она опасна, а остальные почему то я думаю фильтровать не обязательно, только взгляните:
<?php
if(isset($_GET['gg']))
{
echo($_GET['gg']);
}
else
{
echo 'server need a command';
}
?>
скрипт выводит на экран содержимое переменной, чем он может быть опасен? Да ничем, всё что туда введено будет обрабатываться как string а не как php код, запросы типа ?gg=<script>*** ничего не принесут т.к. другие это не увидят, запросы вида ?gg=';?>/?gg=']);?%3E тоже ничего не дадут так как обработаются как string, вот так вот.


Ты бы сначала почитал что такое Ксс... причем тут пхп код и ксс? =\

Вопрос в другом надо ли тут фильтровать $_GET['gg']

Вопрос в другом надо ли тут фильтровать $_GET['gg']
Надо.

Вопрос в другом надо ли тут фильтровать $_GET['gg']
<kznm, на тебя нету слов.

Twoster, ну и зачем?

Twoster, ну и зачем?
хм... действительно интересный вопрос.... давай я тебе не буду писать умные вещи, пообщаемся с тобой на одном уровне.

Вот к примеру у тебя есть дом, в нем замок, есть ключ. Нужно ли ключ брать с собой, или можно оставлять в замке? Если ты ответишь, что брать с собой/прятать/etc, то повторю твой вопрос " ну и зачем?"

Twoster, некорректный ответ, покажи мне что можно сделать через эту мега уязвимость?
http://total.far.ru/dirka.phtml?gg=']);?%3E

Twoster, некорректный ответ, покажи мне что можно сделать через эту мега уязвимость?
http://total.far.ru/dirka.phtml?gg=']);?%3E
http://total.far.ru/dirka.phtml?gg=%3Cscript%3Ealert('XSS');%3C/script%3E
Ну ты понел.
хватит ПИСАТЬ, попробуйте сначала хоть что-то ЧИТАТЬ !!! (c) Jokester.

http://total.far.ru/dirka.phtml?gg=%3Cscript%3Ealert('XSS');%3C/script%3E НИчего не даст я же написал, эта переменная никуда не записывается и нигде не используется, вывод ты увидишь только у себя на экране, ну возможно у тебя повысится ЧСВ это максимум

http://total.far.ru/dirka.phtml?gg=%3Cscript%3Ealert('XSS');%3C/script%3E НИчего не даст я же написал, эта переменная никуда не записывается и нигде не используется, вывод ты увидишь только у себя на экране, ну возможно у тебя повысится ЧСВ это максимум
Пойдём по другому, зачем нужна XSS?

в Книге " Методы атак веб приложений" Товарищ Кузя, доходчиво расписал эту уязвимость придав ей класс критической.. хз...
Сам лично пару раз уводил куки...считаю што в арсенале держать все жэ надо...

с помощью XSS завладеть моим аккаунтом на этом форуме.
Ну возможно у вас стоит и приписка к IP и повторная авторизация в админку или что-то еще.
было дело давно как-то полазив на сайте одного из хостеров обнаружил пассивную xss, там же был опенсорс форум, проводив админа форума на xss получил его, куки, но в админку не зайти изза привязки к IP. Зная сорцы форума я составил xss, чтобы админ добавил нового админа. Опять проводив админа на скрипт, я вошел в админку, в которой можно было добавлять файлы на сайт.
Я к тому, что XSS будет всегда актуальной багой. И не обращать на нее внимание сверх невежества.

Даю наводку, КСС не всегда юзается для угона кукисов. =)

Даю наводку, КСС не всегда юзается для угона кукисов. =)
XSRF не в счёт :)

XSRF не в счёт :)
XSRF тут не при чём :) реально всё зависит от конструкции скрипта, а простор очень велик, от тривиального увода печенюшек, до дефэйса к примеру при определённых условиях или к примеру получения доступа в админку при хорошем знании конструкции онной, так что всё зависит от прямоты рук использующего уязвимость...

XSRF тут не при чём :) реально всё зависит от конструкции скрипта, а простор очень велик, от тривиального увода печенюшек, до дефэйса к примеру при определённых условиях или к примеру получения доступа в админку при хорошем знании конструкции онной, так что всё зависит от прямоты рук использующего уязвимость...
Ну это естественно, но JS то выполняется на клиенте ;)
Так что далеко не уйдёшь, хотя если админ блондинка, можно реально сделать редирект на трой, видел даже на каком то сайтe, что файл сам грузанулся, и выполнился :)
А там и недалеко до пинча :)

Считаю не такой важной уязвимостью.ДАже при ковырянии движков,я не обращаю внимание на КСС,только если натыкаюсь нечаянно - выкладываю.Да,если я ее найду у ебя на сайте,я ее прикрою,но чтобы использовать для хака - отнють.Просто я сам никогда не кликаю по подобным ссылкам,и думаю чот другие ненамного глупее меня.

Если я правильно понимаю сам принцип XSS-атаки, то это неактуально. Наверняка на хоть чуть-чуть серьезных сайтах разработчики проверяют свои скрипты на наличие таких баг. А значит, они там встречаются крайне редко.

Считаю данную уязвимость всё-таки актуальной, потому что иногда нет других способов.
К тому же вспоминается недавняя XSS на яндексе, от которой угнано не мало кошелей

Товарищи администраторы и кодеры, скули, пхп инъекции тоже уже не актуальны!
Больше не нужно обращать на эти мелочи свое драгоценное внимание, ведь его можно потратить на игры в вконтакте!

Товарищи администраторы и кодеры, скули, пхп инъекции тоже уже не актуальны!
Больше не нужно обращать на эти мелочи свое драгоценное внимание, ведь его можно потратить на игры в вконтакте!
Похоже ты прав ;)

Считаю, что даже если в куках нет ничего интересного, от XSS нужно защитить все переменные, потому что XSS сейчас - это даже не уязвимость, а показатель небрежности веб-мастера.

Считаю не такой важной уязвимостью.ДАже при ковырянии движков,я не обращаю внимание на КСС,только если натыкаюсь нечаянно - выкладываю.Да,если я ее найду у ебя на сайте,я ее прикрою,но чтобы использовать для хака - отнють.Просто я сам никогда не кликаю по подобным ссылкам,и думаю чот другие ненамного глупее меня. Чтоб налитеть на XSS не обязательно кликать по подобным ссылкам. Считаю что бага серьезного характера, сама уязвимость направлена на клиенскую часть, ее возможности ограничены только самим атакующим. Возможнсти от похищения куков/фишинга до ботнетов