Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #21 (permalink)  
Старый 24.08.2011, 11:42
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj
 
Регистрация: 19.02.2008
Сообщений: 9,177

Я правильно понимаю, что там возможен такой сценарий: я ввожу в консоль код, получаю некую ссылку, отправляю эту ссылку другу, друг открывает ссылку, у него выполняется код из пункта один? Только в таком случае нужно выполнять код в другом домене. Такой случай, например, на этом форуме.
Ответить с цитированием
  #22 (permalink)  
Старый 24.08.2011, 13:12
Особый гость
Посмотреть профиль Найти все сообщения от monolithed
 
Регистрация: 02.04.2010
Сообщений: 4,260

Сообщение от Kolyaj
Я правильно понимаю, что там возможен такой сценарий: я ввожу в консоль код, получаю некую ссылку, отправляю эту ссылку другу, друг открывает ссылку, у него выполняется код из пункта один?
Все верно. А если сайт совсем "дырявый" и приватный запросы отправлят GET'ом, то можно попробовать внедрить JS на саму страницу и тогда манипуляций с сылками не нужно, можно будет выполнять скрипт для всех пользователей.
Ответить с цитированием
  #23 (permalink)  
Старый 24.08.2011, 13:37
Аватар для Gozar
Отправить личное сообщение для Gozar Посмотреть профиль Найти все сообщения от Gozar
 
Регистрация: 07.06.2007
Сообщений: 7,504

monolithed,
Думаешь они там на сервере не проверяют данные, которые к ним приходят? Вопросы то простейшие, достаточно простой регой загибать плохие запросы, а можно вообще ничего не загибать, а сохранять в базу и писать в логи. Я так последние пару лет делаю. Ох уж эти спамеры
__________________
Последний раз редактировалось Gozar, Сегодня в 24:14.
Ответить с цитированием
  #24 (permalink)  
Старый 24.08.2011, 13:57
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj
 
Регистрация: 19.02.2008
Сообщений: 9,177

Сообщение от monolithed
Все верно.
Дай чтоли ссылку с XSS для убедительности.
Ответить с цитированием
  #25 (permalink)  
Старый 24.08.2011, 13:59
Особый гость
Посмотреть профиль Найти все сообщения от monolithed
 
Регистрация: 02.04.2010
Сообщений: 4,260

Сообщение от Gozar
Думаешь они там на сервере не проверяют данные, которые к ним приходят?
За них сказать ничего не могу, но знаю что многие разработчики на это забивают либо по некомпетентности либо по пофигизму. Когда я работал в студии нам постоянно подкидывали такие кривые сайты, то уже с PHP Shell на борту, то c незакрытими XSS, CSRF/XSRF.
Извиняюсь, за оффтоп
Ответить с цитированием
  #26 (permalink)  
Старый 24.08.2011, 14:02
Особый гость
Посмотреть профиль Найти все сообщения от monolithed
 
Регистрация: 02.04.2010
Сообщений: 4,260

Сообщение от Kolyaj
Дай чтоли ссылку с XSS для убедительности.
Не веришь, что такое возможно?
недавно на хабре была статья про то как яндексе XSS вылавливали
Есть даже сайт, который ведет базу XSS-уязвимых сайтов/

Последний раз редактировалось monolithed, 24.08.2011 в 14:05.
Ответить с цитированием
  #27 (permalink)  
Старый 24.08.2011, 14:09
Аватар для float
Профессор
Отправить личное сообщение для float Посмотреть профиль Найти все сообщения от float
 
Регистрация: 01.07.2010
Сообщений: 387

Цитата:
А если сайт совсем "дырявый"
трудно представить мне сайт такой дырявости, тк недавно пытался пробить(шутки ради) довольно небрежный сайт, написан далеко не профи. Очень удивился, когда ничего не получилось(особенно если учесть что у меня были исходники).
Ответить с цитированием
  #28 (permalink)  
Старый 24.08.2011, 14:16
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj
 
Регистрация: 19.02.2008
Сообщений: 9,177

Сообщение от monolithed
Не веришь, что такое возможно?
Начали с того, что консоль выполняет скрипт в их домене. Соответственно, интересно увидеть XSS, связанный именно с консолью. Про то, что на многих сайтах есть XSS, я знаю, но я не могу понять, как это связано с контекстом выполнения скриптов в их консоли.
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Срочно JS developer okp Работа 13 23.08.2011 16:16
Срочно JS developer okp Работа 7 14.06.2011 14:54
Не получается передать переменную из JS в PHP Lion_astana AJAX и COMET 2 23.11.2010 17:23
Бесплатный курс HTML и CSS! Hagrael (X)HTML/CSS 1 11.05.2010 14:26
помогите задать переменную в js bsgroupua Общие вопросы Javascript 3 01.02.2010 18:28