11.6.2015 0 Comments

WWW hacking a obrana / 1. časť

Upozornenie: Autor článku nezodpovedá za prípadné škody vzniknuté používaním techník uvedených v tomto článku. Všetky postupy, techniky a spôsoby sú iba na ukážkové účely pre potreby programátorov s predpokladom využitia týchto informácií na lepšie zabezpečenie internetových aplikácií. Každý používa opísané techniky len na vlastnú zodpovednosť. Množstvo webových serverov automaticky zaznamenáva pokusy o útoky vrátane IP adresy zdroja. Prvú časť seriálu sme ukončili rozprávaním o funkcii open() objektu window. Teraz na túto tému nadviažeme. Chyby typu XSS sa dajú zneužiť aj pri rozosielaní reklamy. Pre roboty, ktoré prehľadávajú internet, nie je problém vložiť do fóra príspevok: Používateľovi sa zobrazí okno s reklamou. Skutočné nebezpečenstvo spočíva v tom, že útočník môže pridať do obsahu webovej stránky namiesto obyčajného skriptu, ktorý len zobrazí nejakú správu, skript, ktorý získa cookies. Ide opäť len o pár riadkov kódu, ktoré dokáže napísať aj začiatočník v JavaScripte a PHP.  XSS cez parameter objektu Nie vždy je to, čo používateľ vložil, aj priamym výstupom na stránku, ktorý vidieť. Niekedy je to len hodnota nejakého parametra objektu. V nasledujúcom príklade je tým objektom textové políčko, ktorého hodnota parametra "value" je jeho obsah. Ani tento vstup nie je nijako kontrolovaný, a preto doň možno vložiť akékoľvek údaje. Skúste vyskúšať . Skript sa nevykoná, ale poškodí integritu stránky natoľko, že výsledkom bude zobrazenie malej časti kódu stránky, dokonca tagu. Problém je v tom, že skript, ktorý sme vložili do textového políčka, je vnútri medzi úvodzovkami a je považovaný za reťazec, a nie za kód stránky. Tento problém sa dá odstrániť jednoducho: vložením "> pred kód skriptu. Výsledný vstup bude vyzerať takto ">. Tým dôjde k ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Red Hat a Veracomp: Open source a cloudy

09.12.2016 12:05

Cieľom ďalšej z radu spoločných akcií firiem Red Hat a Veracomp Slovakia v Bratislave bola prezentácia produktov, služieb a stratégií týkajúcich sa najhorúcejších tém IT podpory biznisu s využitím naj ...

ITPro

Právne okienko

08.12.2016 12:02

1. Ako postupovať, ak obchodník nechce uznať reklamáciu tovaru objednaného z e-shopu? V takomto prípade môžu nastať v zásade dve situácie. Ak zákazník reklamuje tovar do 12 mesiacov od jeho kúpy, mož ...

ITPro

Red Hat Forum 2016: Otvorená digitálna transformácia

09.12.2016 11:51

Podujatím v Prahe pre región CENE (stredná a severná Európa) rezonovala komunitná atmosféra a snaha o spoluprácu podľa pravidla „každý s každým“. IT musí priniesť do digitálneho biznisu novú kultúru a ...

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá