11.6.2015 0 Comments

WWW hacking a obrana / 1. časť

Upozornenie: Autor článku nezodpovedá za prípadné škody vzniknuté používaním techník uvedených v tomto článku. Všetky postupy, techniky a spôsoby sú iba na ukážkové účely pre potreby programátorov s predpokladom využitia týchto informácií na lepšie zabezpečenie internetových aplikácií. Každý používa opísané techniky len na vlastnú zodpovednosť. Množstvo webových serverov automaticky zaznamenáva pokusy o útoky vrátane IP adresy zdroja. Prvú časť seriálu sme ukončili rozprávaním o funkcii open() objektu window. Teraz na túto tému nadviažeme. Chyby typu XSS sa dajú zneužiť aj pri rozosielaní reklamy. Pre roboty, ktoré prehľadávajú internet, nie je problém vložiť do fóra príspevok: Používateľovi sa zobrazí okno s reklamou. Skutočné nebezpečenstvo spočíva v tom, že útočník môže pridať do obsahu webovej stránky namiesto obyčajného skriptu, ktorý len zobrazí nejakú správu, skript, ktorý získa cookies. Ide opäť len o pár riadkov kódu, ktoré dokáže napísať aj začiatočník v JavaScripte a PHP.  XSS cez parameter objektu Nie vždy je to, čo používateľ vložil, aj priamym výstupom na stránku, ktorý vidieť. Niekedy je to len hodnota nejakého parametra objektu. V nasledujúcom príklade je tým objektom textové políčko, ktorého hodnota parametra "value" je jeho obsah. Ani tento vstup nie je nijako kontrolovaný, a preto doň možno vložiť akékoľvek údaje. Skúste vyskúšať . Skript sa nevykoná, ale poškodí integritu stránky natoľko, že výsledkom bude zobrazenie malej časti kódu stránky, dokonca tagu. Problém je v tom, že skript, ktorý sme vložili do textového políčka, je vnútri medzi úvodzovkami a je považovaný za reťazec, a nie za kód stránky. Tento problém sa dá odstrániť jednoducho: vložením "> pred kód skriptu. Výsledný vstup bude vyzerať takto ">. Tým dôjde k ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Linux súkromne i pracovne v2.0 (15. časť): SIP (Session Initiation Protocol)

21.01.2017 00:05

Je priam neuveriteľné, aké množstvo užitočných informácií a faktov súvisiacich s IP telefóniou (VoIP) sa skrýva za takou jednoduchou skratkou, ako je SIP. Nejde pritom iba o protokol, ale o mnoho ďalš ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

Vyhľadávanie

ShowIT

Najnovšie videá