Возможности Javascript
 

1111111111

Это нужно чтобы серверный язык мог бы выполнять JS. Хотя конечно же никакой сервер не станет выполнять у себя сценарии, которые ему навязывают извне. А вот чтобы сервер принял по URL такое, это должно быть параметром запроса, например форма отправляет такие данные. А далее уже зависит от сайта, его направленности. Например здесь форум, который рассматривает различные сценарии, но выполняться будут только те, что обрамлены ВВ-кодом и не на странице непосредственно, а в песочнице. В коде же вставленном непосредственно на странице во избежание XSS опасные символы будут заменены на html сущности следовательно на клиенте он выполняться не будет. Вот так размещена ваша строка кода на станице этой:

<script>alert(27213123123123)</script>

111111111

Вы как разработчик регулируете что сохранять на сервере присланное извне, а что нет. Можете вырезать запрещенное, можете нет, заменяя опасное на показанное выше. Конечно способов атак много и вопрос безопасности гораздо сложнее, рассказывать обо всем, это долго, так что "поиск по паутине" в помощь, читайте, изучайте.

Karen989898, вы можете использовать заголовок Content-Security-Policy, чтобы указать, что загрузка скриптов и прочего должна происходить только с конкретного сервера, содержащего доверенный код или прочие ресурсы или не происходить вообще.

Также вам наверняка будет интересно узнать, что у элемента <iframe> есть атрибут sandbox.

laimas, Malleys, мне кажется автора интересуют возможные способы "применения" xss-атаки, а не способы защититься от нее.

Ну можно и такое предполагать, если "уязвимость имеется и можно с ней дальше работать", это желание ломать.

111111111

11111111

Пытаетесь взломать? За это бьют по попе. ;)

1111111

А зачем пользователю версия БД, какой язык используется сервером и прочее о нем? Нормальный хозяин хоста никогда не разрешит выполнять у себя скрипты, подключать чужие html/js файлы без контроля, и информацию о хосте рассказывать не будет.

А вот попытки узнать все это через уязвимости, это и есть попытки взлома. Правда JS не для каждого серверного языка опасны, они просто не смогут исполняться.

Но проверить это каким нибудь скриптом js можно?

Karen989898, что вы хотите проверить?

laimas, что опять потянуло стаскивать чужие штаны?

Так это не на сервере JS-код выполняется, а в твоём браузере. Ну ещё в чужих браузерах, если это опубликовывается или отправите кому ссылку с кодом. (Вот тогда можно говорить о получении чужой информации)

111111111

Проверяйте!

Хотел бы я посмотреть на сервер, который это бы выполнил и вернул результат. Вы можете попытаться "скормить js" серверу на Node.js, но такое <script>... он уж точно не будет выполнять как серверный код, если бы даже вы и нащупали брешь. В случае же иного языка, это вообще для сервера сигналом к действию являться не будет.

Не понял вопроса, смени пароль, а то от твоего имени иногда идёт всякое порно и угрозы!

И только при помощи eval или vm.runInNewContext. Тут идёт речь о выводе в браузер, перевожу на PHP

<?php

echo $_GET['q'];

т. е. это не на сервере выполняется, а просто вставляется текст на страницу, в браузере это воспринимается как полноценный JS (если есть <script></script>), которой и выполняется, когда делаешь соответствующий запрос.

Я не знаю Node.js, и выполнит ли он через eval <script></script>. Но думаю разработчик уж точно бы не стал такое делать на сервере ради вывода в браузер.

Конечно же не выполнит, если только специально не написать выполнение значения параметра запроса при помощи eval или vm.runInNewContext, что совершенно неправильно делать, поскольку открывает полный доступ к серверу.

А он то о чем писал, что "перехватывал ответ после исполнения", а не наблюдал его в браузере.