Отправлено: 19.05.13 16:46. Заголовок: Тестирование forum.canada.ru

При проверке сайта forum.canada.ru оказалось, что форум осуществляет XSS-атаки на пользователей.

XSS атака является одним из любимейших видов атак у хакеров. В данной статье мы постараемся в доступной форме разъяснить, что эта за вид атак, как они реализуемы, какие у них последствия, и как же от них уберечься.

Аббревиатура XSS расшифровывается как Cross Site Scripting, или «межсайтовый скриптинг». При этом первую букву С заменили на Х вследствие того, что аббревиатура CSS уже занята, обозначает «Каскадные таблицы стилей» и применяется в веб-программировании.

XSS атака – это атака на уязвимость, которая существует на сервере, позволяющая внедрить в генерируемую сервером HTML-страницу некий произвольный код, в котором может быть вообще все что угодно и передавать этот код в качестве значения переменной, фильтрация по которой не работает, то есть сервер не проверяет данную переменную на наличие в ней запрещенных знаков –, <, >, ’, ”. Значение данной переменной передается от генерируемой HTML-страницы на сервер в скрипт, ее вызвавший путем отправки запроса.

А далее начинается самое интересное для хакера. РНР-скрипт в ответ на данный запрос генерирует HTML-страницу, в которой отображаются значения требующихся хакеру переменных, и отправляет данную страницу на браузер хакера.

То есть, говоря проще, XSS атака – это атака с помощью уязвимостей на сервере на компьютеры клиентов.

XSS атака чаще всего используется для кражи Cookies (или куки, как их произносят по-русски). В них хранится информация о сессии пребывания пользователя на сайтах, что и бывает нужным хакерам для перехвата управления личными данными пользователя на сайте в пределах, пока сессия не будет закрыта сервером, на котором размещен сайт. Помимо этого в Cookies хранится зашифрованный пароль, под которым пользователь входит на данный сайт, и при наличии необходимых утилит и желания хакерам не доставляет особого труда расшифровать данный пароль. А чем это чревато, думаю, всем понятно.

Чаще всего, как я упоминал выше, XSS атаки используются для кражи cookies (в народе – куки). В них хранятся сессии пребывания пользователя на том или ином сайте, этим злоумышленник и пользуется. Таким способом можно находится, например, на форуме, под аккаунтом другого человека. Так же cookies содержат зашифрованный пароль к аккаунту пользователя, который “сетевой хулиган” может с легкостью расшифровать и получить постоянный и ничем неограниченный доступ.

Теперь опишем другие возможности XSS атак (конечно при условии их успешного проведения).
Возможно при открытии страницы вызвать открытие большого количества ненужных пользователю окон.
Возможна вообще переадресация на другой сайт (например, на сайт конкурента).
Существует возможность загрузки на компьютер пользователя скрипта с произвольным кодом (даже вредоносного) путем внедрения ссылки на исполняемый скрипт со стороннего сервера.
Зачастую происходит кража личной информации с компьютера пользователя, помимо Cookies в качестве объекта кражи выступает информация о посещенных сайтах, о версии браузера и операционной системе, установленной на компьютере пользователя, да к тому же еще и плюсуется IP-адрес компьютера пользователя.
XSS атака может быть проведена не только через сайт, но и через уязвимости в используемом программном обеспечении (в частности, через браузеры). Поэтому рекомендуем почаще обновлять используемое программное обеспечение.
Также возможно проведение XSS атак через использование SQL-кода.

Как мы видим из всего вышесказанного, возможностей у XSS атак достаточно много. Злоумышленник может овладеть вашей личной информацией вплоть до получения паролей доступа к сайтам, а это очень неприятно. К тому же XSS атака наносит вред исключительно клиентским машинам, оставляя сервер в полностью рабочем состоянии, и у администрации различных серверов порой мало стимулов устанавливать защиту от этого вида атак.

 Отправлено: 20.05.13 19:22. Заголовок: Димыч пишет: А если..

Димыч пишет:

цитата:

А если это всего лишь плод твоего воображения?

Этот топик создала не я, дурак.

 Отправлено: 20.05.13 19:28. Заголовок: Димыч пишет: А если..

Димыч пишет:

цитата:

А если это всего лишь плод твоего воображения?

А если нет?

 Отправлено: 20.05.13 19:34. Заголовок: Матильда пишет: Это..

Матильда пишет:

цитата:

Этот топик создала не я, дурак.

Вот этот ответ куда более еврейский!

 Отправлено: 20.05.13 19:43. Заголовок: Димыч пишет: Вот эт..

Димыч пишет:

цитата:

Вот этот ответ куда более еврейский!

Что вы в нас понимаете?

 Отправлено: 20.05.13 19:53. Заголовок: еврейский ответ пиш..

еврейский ответ пишет:

цитата:

Что вы в нас понимаете?

Фсё.

 Отправлено: 20.05.13 19:57. Заголовок: зяблик пишет: ну в..

зяблик пишет:

цитата:

ну вот к примеру один из заблокированных адресов. о которых симафорит адблок на канадуре:

поскольку тут не вырубишь топором то, что напечатал пять минут назад, покорнейше прошу вместо "симафорит" :)) читать семафорит

шота сегодня просто ужас какой-то с моим правельнопесанием :)

 Отправлено: 20.05.13 20:44. Заголовок: Димыч пишет: Фсё. ..

Димыч пишет:

цитата:

Фсё.

Помните табличку над писсуаром? "Не льстите себе ... "?

 Отправлено: 20.05.13 20:46. Заголовок: зяблик пишет: читат..

зяблик пишет:

цитата:

читать семафорит

Sema for it?

 Отправлено: 20.05.13 20:47. Заголовок: зяблик пишет: поско..

зяблик пишет:

цитата:

поскольку тут не вырубишь топором то, что напечатал пять минут назад

Ну и как мы вам хакаем?

 Отправлено: 20.05.13 20:51. Заголовок: еврейский ответ пи..

еврейский ответ пишет:

цитата:

Помните табличку над писсуаром?

Нетъ. Таки где? Что за писуар там у вас с табличкой? :

 Отправлено: 20.05.13 21:03. Заголовок: http://s.pikabu.ru/p..

 Отправлено: 20.05.13 21:13. Заголовок: Совсем запутали меня..

Совсем запутали меня. У еврейского ответа вроде писуар с табличкой был.

 Отправлено: 20.05.13 21:14. Заголовок: у них в швеции один ..

у них в швеции один вон подошел.. наверно перепутал с унитазом или может там тоже висела табличка. типа. подходи поближе

http://www.mixnews.lv/ru/world/news/2013-05-17/124291

 Отправлено: 20.05.13 21:23. Заголовок: зяблик пишет: у них..

зяблик пишет:

цитата:

у них в швеции один вон подошел.. наверно перепутал с унитазом или может там тоже висела табличка. типа. подходи поближе http://www.mixnews.lv/ru/world/news/2013-05-17/124291

Ай маладца!! Однозначно удумал премию дарвина урвать!

 Отправлено: 20.05.13 21:33. Заголовок: зяблик пишет: поско..

зяблик пишет:

цитата:

поскольку тут не вырубишь топором то, что напечатал пять минут назад, покорнейше прошу вместо "симафорит" :)) читать семафорит

Уже вырубил и исправил на семафорит.

 Отправлено: 20.05.13 21:37. Заголовок: Димыч пишет: Совсем..

Димыч пишет:

цитата:

Совсем запутали меня.

А говорили что

цитата:

Фсё.

в нас понимаете?

 Отправлено: 21.05.13 04:51. Заголовок: Пишите всякую чушь, ..

Пишите всякую чушь, дураки.

 Отправлено: 21.05.13 04:59. Заголовок: Матильда пишет: Пиш..

Матильда пишет:

цитата:

Пишите всякую чушь

напишем

 Отправлено: 21.05.13 05:43. Заголовок: еврейский ответ пи..

еврейский ответ пишет:

цитата:

Димыч пишет: цитата: Совсем запутали меня. А говорили что цитата: Фсё. в нас понимаете?

Я говорил не про писуары с унитазами над которыми таблички вешают, если что.
Впрочем, если это одно и то же, то готов проиграть спор.

 Отправлено: 22.05.13 15:03. Заголовок: еще один, весьма пер..

еще один, весьма перспективный на мой взгляд (и целеустремленный какой!), кандидат на премию дарвина

[ut]http://www.youtube.com/watch?feature=player_embedded&v=Wqg-zugZdI0[/ut]