Autor | Zpráva | ||
---|---|---|---|
Watchick Profil |
#1 · Zasláno: 10. 3. 2009, 16:26:54
Zdravím,
chtěl bych nějakým způsobem co nejvíce ochránit svůj web proti XSS... Chápu na čem XSS vlastně bazíruje... Získávání hesel, provádění scriptů tak, aby si klient myslel, že jede o server na kterém právě je... Našel jsem takový malý popis: <html> <body> <form> <input type="text" name="test"> <input type="submit" value="Odeslat a zobrazit"> <br> <?php if (isset($_GET['test'])) { echo 'Odeslaná hodnota je: ' . $_GET['test']; } ?> </form> </body> </html> Třeba tady jasně chápu že pokud by někdo poslal někomu odkaz: test.cz/index.php?test=</textarea><script>alert('test');</script> Tak mu vyskočí okno, s textem "text", samozrejme to je to nejmensi zlo, co se da provest, ale nepochopil jsem jiný způsob "trvalého zůstání scriptu na severu" než odeslání a uložení do databáze... Je ještě jiný způsob? Takže vlastně když někdo někomu pošle takovýto odkaz, heslo to sebere pouze jemu? a ostatní ohroženi nejsou? Rád bych se naučil principy XSS, abych se proti nim naučil chránit web... znátě někdo nějakou stránku? rad bych aby tam byly i pripady HTML kodu, protoze z pouhych JS prikazu toho moc nevyctu... Předem díky Watchick |
||
Bubák Profil |
#2 · Zasláno: 10. 3. 2009, 18:56:16
Takový "minirozcestník".
|
||
Časová prodleva: 15 let
|
0