04.12.2009, 10:15
|
|
Участник форума
Регистрация: 14.11.2008
Сообщений: 149
Провел на форуме:
950638
Репутация:
256
|
|
Сообщение от Ctacok
XSRF не в счёт  XSRF тут не при чём реально всё зависит от конструкции скрипта, а простор очень велик, от тривиального увода печенюшек, до дефэйса к примеру при определённых условиях или к примеру получения доступа в админку при хорошем знании конструкции онной, так что всё зависит от прямоты рук использующего уязвимость...
|
|
|
04.12.2009, 10:25
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Сообщение от DrAssault
XSRF тут не при чём реально всё зависит от конструкции скрипта, а простор очень велик, от тривиального увода печенюшек, до дефэйса к примеру при определённых условиях или к примеру получения доступа в админку при хорошем знании конструкции онной, так что всё зависит от прямоты рук использующего уязвимость... Ну это естественно, но JS то выполняется на клиенте 
Так что далеко не уйдёшь, хотя если админ блондинка, можно реально сделать редирект на трой, видел даже на каком то сайтe, что файл сам грузанулся, и выполнился
А там и недалеко до пинча
|
|
|
|
04.12.2009, 12:25
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Считаю не такой важной уязвимостью.ДАже при ковырянии движков,я не обращаю внимание на КСС,только если натыкаюсь нечаянно - выкладываю.Да,если я ее найду у ебя на сайте,я ее прикрою,но чтобы использовать для хака - отнють.Просто я сам никогда не кликаю по подобным ссылкам,и думаю чот другие ненамного глупее меня.
|
|
|
|
04.12.2009, 14:52
|
|
Постоянный
Регистрация: 17.12.2008
Сообщений: 353
Провел на форуме:
919131
Репутация:
74
|
|
Если я правильно понимаю сам принцип XSS-атаки, то это неактуально. Наверняка на хоть чуть-чуть серьезных сайтах разработчики проверяют свои скрипты на наличие таких баг. А значит, они там встречаются крайне редко.
Последний раз редактировалось fl00der; 04.12.2009 в 14:54..
|
|
|
|
04.12.2009, 14:55
|
|
Участник форума
Регистрация: 04.03.2009
Сообщений: 298
Провел на форуме:
1241030
Репутация:
229
|
|
Считаю данную уязвимость всё-таки актуальной, потому что иногда нет других способов.
К тому же вспоминается недавняя XSS на яндексе, от которой угнано не мало кошелей
|
|
|
|
04.12.2009, 15:54
|
|
Участник форума
Регистрация: 16.02.2009
Сообщений: 191
Провел на форуме:
879928
Репутация:
438
|
|
Товарищи администраторы и кодеры, скули, пхп инъекции тоже уже не актуальны!
Больше не нужно обращать на эти мелочи свое драгоценное внимание, ведь его можно потратить на игры в вконтакте!
|
|
|
|
04.12.2009, 18:29
|
|
Участник форума
Регистрация: 14.11.2008
Сообщений: 149
Провел на форуме:
950638
Репутация:
256
|
|
Сообщение от Dyxxx
Товарищи администраторы и кодеры, скули, пхп инъекции тоже уже не актуальны!
Больше не нужно обращать на эти мелочи свое драгоценное внимание, ведь его можно потратить на игры в вконтакте!
Похоже ты прав
|
|
|
|
04.12.2009, 18:42
|
|
Постоянный
Регистрация: 04.12.2007
Сообщений: 424
Провел на форуме:
2364957
Репутация:
479
|
|
Считаю, что даже если в куках нет ничего интересного, от XSS нужно защитить все переменные, потому что XSS сейчас - это даже не уязвимость, а показатель небрежности веб-мастера.
|
|
|
|
07.12.2009, 08:57
|
|
Постоянный
Регистрация: 20.12.2007
Сообщений: 334
Провел на форуме:
1934122
Репутация:
118
|
|
Считаю не такой важной уязвимостью.ДАже при ковырянии движков,я не обращаю внимание на КСС,только если натыкаюсь нечаянно - выкладываю.Да,если я ее найду у ебя на сайте,я ее прикрою,но чтобы использовать для хака - отнють.Просто я сам никогда не кликаю по подобным ссылкам,и думаю чот другие ненамного глупее меня.
Чтоб налитеть на XSS не обязательно кликать по подобным ссылкам. Считаю что бага серьезного характера, сама уязвимость направлена на клиенскую часть, ее возможности ограничены только самим атакующим. Возможнсти от похищения куков/фишинга до ботнетов
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для shellz[21h]](/avatars/avatar46780.jpg?1739630){kind=avatar}
Похожие темы
Комбинированный вид