18.12.2015 0 Comments

WWW hacking a obrana / 8. časť

V predošlej časti nášho seriálu sme ukončili tému SQL Injection. Teraz sa vrátime k útokom XSS, ktoré preberieme podrobnejšie. Konkrétne typy útokov okomentujeme a opíšeme, prečo fungujú alebo v minulosti fungovali. XSS (Cross Site Scripting) Žiaľ, útoky typu XSS sú nielenže jednoducho uskutočniteľné, ale spôsoby injektovania kódu môžu mať veľmi veľa podôb, čo výrazne sťažuje ošetrenie. Hoci sa XSS považuje za útok prostredníctvom vkladania skriptov JavaScript, nie je to vždy nevyhnutne tak. Pri tomto type útokov totiž možno do aplikácie vkladať napríklad aj kód HTML či hocijaký iný, ktorý dokáže webový prehliadač interpretovať. Napríklad prehliadače Internet Explorer podporujú aj technológiu Visual Basic Script (VBScrpit), a preto možno vkladať aj príkazy tohto skriptovacieho jazyka. Rovnaké je to aj so zásuvným modulom nejakého webového prehliadača, ktorý by interpretoval určité príkazy v zdrojovom kóde.  My sa najprv budeme venovať klasickým XSS, a preto začíname tagmi  Webové prehliadače budú celý kód medzi týmito tagmi parsovať ako kód jazyka JavaScript. Ak sa teda pokúsime vložiť tento kód:    prehliadač sa pokúsi kód medzi párovým tagom    Prax Na nasledujúcom výpise súboru si môžete otestovať niektoré spôsoby útokov. Ide opäť o ukážku jednoduchej webovej aplikácie, ktorá nijako neošetruje vstup ani výstup.Súbor index.php: Ukážka aplikácie, ktorá je zle naprogramovaná!
Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá