postPR.ru » Облако тегов » XSS-атака

    Дешевый хостинг



 

XSS (межсайтовый скриптинг) - как защититься?

Автор: webliberty | Дата: 6-02-2018 в 14:54 | Просмотров: 398 | Комментариев: 0



XSS (межсайтовый скриптинг) - как защититься?
XSS – это сокращение понятия расшифровываемое как "межсайтовый скриптинг". В задачи межсайтового скриптинга и главной целью XSS является получение cookies пользователей атакуемого сайта путем встраивания вредоносного кода в тело HTML страницы. XSS позволяет атакующему внедрить вредоносный код на страницу и отправить его обратно в браузер пользователя, где этот код будет выполнен. Существует два типа XSS уязвимостей — пассивная и активная. Как от них защититься?

Категория: Безопасность

 

XSS в загрузке xml.load на сайтах, которые используют Flash

Автор: Master-It | Дата: 17-03-2015 в 09:02 | Просмотров: 468 | Комментариев: 0



XSS в загрузке xml.load на сайтах, которые используют Flash
Большая часть флэш приложений, в частности сайтов, совершенно безразлично относятся к тому откуда загружаются xml, txt и другие файлы. Что в свою очередь позволяет загружать конфигурационные файлы с других доменов вызывая XSS.
Популярные Flash приложения тоже не стоят в стороне, подставляя под XSS атаки своих клиентов.
В комментариях к посту есть пример некорректного Flash приложения, которое используется на многих сайтах.

Категория: Безопасность

 

Программирование в ActionScript и Cross Site Flashing

Автор: Master-It | Дата: 2-03-2015 в 10:44 | Просмотров: 482 | Комментариев: 0



Программирование в ActionScript и Cross Site Flashing
Иногда блоггеры для улучшения поведенческих фактором размещают на своих сайтах Flash игры. Огромное количество Flash приложений подвержено XSS уязвимостям и флеш игры не составляют исключение.
Да что там говорить, даже Flash баннеры таких известных компаний как Yandex, Yahoo и многие другие имеют XSS уязвимости в ClickTAG. Это можно увидеть на рисунке к этому посту.
В статье я продолжаю описание CSF во флеш приложениях. Также рассмотрен фикс для закрытия бага в ClickTAG, который жестко фильтрует данные получаемые из FlashVar.
В заключении статьи мое скромное Flash приложение игра лабиринт, в которой тоже был обнаружен баг. Также есть возможность скачать бажный swf исходник и потестить.

Категория: Безопасность

 

XSS уязвимости в Flash баннерах

Автор: Master-It | Дата: 9-02-2015 в 08:56 | Просмотров: 496 | Комментариев: 0



XSS уязвимости в Flash баннерах
Большое количество Flash приложений (баннеров, игр) подвержено XSS уязвимостям. Откуда растут ноги для XSS в флеш я уже писал, но кроме метода getURL(), существует еще 12 методов которые используют флеш программисты, причем очень часто не совсем корректно.
На днях я протестировал несколько популярных веб сайтов, и в 50% случаев рекламные флеш баннеры позволили провести XSS атаку.
Какие инструменты нужны для декомпилирования Flash баннеров и поиска уязвимостей, а также описание первого уязвимого метода getURL() смотрите в статье.

Категория: Безопасность

 

DOM-Based XSS уязвимость в библиотеке WordPress

Автор: Master-It | Дата: 30-12-2014 в 15:03 | Просмотров: 446 | Комментариев: 0



DOM-Based XSS уязвимость в библиотеке WordPress
У достаточно большого количества пользователей WordPress, находиться DOM-Based уязвимость в JS библиотеке.
DOM-Based XSS уязвимости позволяют получить полный доступ и контроль на браузерами пользователей сайта.
Причем это могут быть не только куки админа, но и много чего еще, здесь все зависит от фантазии злоумышленника.
Например уязвимость в клиентской части веб приложения, может быть использована для анонимного сканирования портов и ОС веб сервера.
Подробно о том, как закрыть багу смотрите в статье.

Категория: Безопасность

 

DOM-based XSS в WordPress

Автор: Master-It | Дата: 24-11-2014 в 08:54 | Просмотров: 554 | Комментариев: 2



DOM-based XSS в WordPress
Провел небольшое тестирование своих сайтов на предмет выявления DOM-Based XSS уязвимостей, и обнаружил целую кучу багов.
DOM-Based XSS (Type 0) возникает из-за недостаточной фильтрации данных на стороне пользователя, т. е. это уязвимость клиентской части веб приложения.
Пришлось исправлять добрую часть JS кода.
Однако, не остался в стороне и мой блог на WordPress.
Бага была обнаружена в JQuery библиотеке jquery.prettyPhoto.js.
В статье представлено несколько векторов XSS атаки с помощью библиотеки jquery.prettyPhoto.js и способы закрытия уязвимости.

Категория: Безопасность

 

Защита от XSS-атак и подбора пароля

Автор: golubev | Дата: 11-04-2013 в 05:01 | Просмотров: 392 | Комментариев: 0



Защита от  XSS-атак и подбора пароля
Защита от XSS-атак и подбора пароля

WordPress довольно сложная система и она состоит из частей, которые обмениваются между собой информацией. Это значит, что есть возможность подсунуть системе, под видом информации, какой-нибудь вредоносный код, который заставит ее выполнить какие-то несанкционированные действия. Например - создать пользователя с полномочиями администратора. А затем уже взломщик может войти в вашу админ панель и делать там, что хочет. Такой способ взлома носит название XSS-атака.

Категория: Безопасность