Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 22.06.2012, 11:58
Интересующийся
Отправить личное сообщение для nicklan Посмотреть профиль Найти все сообщения от nicklan
 
Регистрация: 26.08.2011
Сообщений: 14

Помощь по CSRF
Есть сайт
http://site.ru?s=test
В нём есть следующий HTML код:
Код:
<form method="POST">
<input type="text" name="ame1" value="тут_типа_XSS">
<input type="text" name="ame2" value="тут_типа_тоже_XSS">
<input type="submit" class="submit" value="DO_IT">
</form>

При нажатии на кнопку DO_IT выполняется XSS код на странице.



Можно ли как-нибудь проэксплуатировать эту CSRF дырку?
Например, создать свою html страницу с соответствующим кодом (который будет эксплуатировать дырку на http://site.ru/)
Ответить с цитированием
  #2 (permalink)  
Старый 22.06.2012, 13:37
sinistral
Посмотреть профиль Найти все сообщения от melky
 
Регистрация: 28.03.2011
Сообщений: 5,418

Сообщение от nicklan
При нажатии на кнопку DO_IT выполняется XSS код на странице.
не бывает "XSS кода". XSS может быть активной или пассивной.

Сообщение от nicklan
Можно ли как-нибудь проэксплуатировать эту CSRF дырку?
где же там CSRF ?

Сообщение от nicklan
Например, создать свою html страницу с соответствующим кодом (который будет эксплуатировать дырку на http://site.ru/)
ну создайте фрейм, которые будет "эксплуатировать дырку"
Ответить с цитированием
  #3 (permalink)  
Старый 22.06.2012, 14:29
Интересующийся
Отправить личное сообщение для nicklan Посмотреть профиль Найти все сообщения от nicklan
 
Регистрация: 26.08.2011
Сообщений: 14

Цитата:
При нажатии на кнопку DO_IT выполняется XSS код на странице.
Я имею ввиду выполняется js код, который указан в параметре value.

Цитата:
XSS может быть активной или пассивной.
Это CSRF.

Цитата:
где же там CSRF ?
читай что такое CSRF
Ответить с цитированием
  #4 (permalink)  
Старый 22.06.2012, 14:40
sinistral
Посмотреть профиль Найти все сообщения от melky
 
Регистрация: 28.03.2011
Сообщений: 5,418

Сообщение от nicklan
Это CSRF.
ещё раз, нет.
http://ru.wikipedia.org/wiki/XSS
Цитата:
Условно XSS можно разделить на активные и пассивные.
активные - активны всегда.
пассивные - активны при соблюдении условий, типа передачи параметра в запросе.

Сообщение от nicklan
читай что такое CSRF
может не понимаю всех условий на том сайте, но при чём тут вообще она?
http://ru.wikipedia.org/wiki/Подделка_межсайтовых_запро сов

PS как глупо спрашивать на форуме программистов, как реализовать взлом.
Ответить с цитированием
  #5 (permalink)  
Старый 25.06.2012, 01:44
Интересующийся
Отправить личное сообщение для nicklan Посмотреть профиль Найти все сообщения от nicklan
 
Регистрация: 26.08.2011
Сообщений: 14

Цитата:
ещё раз, нет.
http://ru.wikipedia.org/wiki/XSS
Зачем ты мне даёшь ссылку на XSS?
Я же уже тебе сказал что это CSRF

Цитата:
активные - активны всегда.
пассивные - активны при соблюдении условий, типа передачи параметра в запросе.
Зачем ты мне это пишешь?

Js код выполняется при нажатии на кнопку DO_IT
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Бесплатная помощь новичкам iCanary Общие вопросы Javascript 11 30.11.2015 20:35
Помощь в настройке слайдера tatiana-js Работа 1 06.01.2012 17:53
нужна помощь dominosoko Серверные языки и технологии 4 14.03.2010 02:17
Нужна помощь!! StreG Общие вопросы Javascript 2 03.02.2010 20:41
Срочно нужна помощь Гость Общие вопросы Javascript 2 02.09.2008 14:13