Безопасность chat.IsGreat.org

Безопасность chat.IsGreat.org

05.04.2007, 23:13

fallcom

Новичок

Регистрация: 18.12.2006

Сообщений: 6

С нами: 10208266

Репутация: 2

Безопасность chat.IsGreat.org

Добрый день всем.
Есть бета версия чата, которого хотелось бы проверить на вшивость. Интересует аспект безопасностьи и юузабельность.
Чат полностью написан на ajax/javascript(фронтенд) и пхп(бакенд) без использования скула.
Вес трафик по направлению клиент-сервер-клиент шифруется национальным алгоритмом сша - ДЕСом. Так что сниф автоматом отпадает.
Фреймов нет, XSS тоже наврятле..
Хотелось бы услышать профессиональное мнение(если таковое есть) в этой теме.
з.ы. Адресс чата в заголовке темы.

𝕏 Twitter Reddit Telegram Копировать ссылку

06.04.2007, 03:28

Horsekiller

Познающий

Регистрация: 22.11.2006

Сообщений: 68

С нами: 10245582

Репутация: 137

Цитата:

Сообщение от fallcom

XSS тоже наврятле..

Поля ICQ UIN и Сайт при редактировании уже зарегестрированного юзера успешно переваривают

Код:

"><script>alert("XSS :)!")</script>

,
и выдают алерты, так что XSS есть, причем активная.

06.04.2007, 22:10

fallcom

Новичок

Регистрация: 18.12.2006

Сообщений: 6

С нами: 10208266

Репутация: 2

Цитата:

Сообщение от Horsekiller

и выдают алерты, так что XSS есть, причем активная.

XSS тут даже не пахнет - не активной не пасивной.
Если повторно запросить информацию с сервера - все будет в первозданном виде.
Темболе что все опасные теги режутсья еше на падлете.
К тому же от xss мало пользы тк не хеш пароля не тем более сам пароль не хранятсь
в куках, только ид сессии да и та превязанна к ip.

Внести депозит

Депозит создан

Вывести депозит