А какие скрипты встраивают? Навископом перехватывают пакеты - какие отсылаются/принимаются вами. А ИнетКряком эти самые пакеты модифицируются и засылаются вам обратно "по всем правилам". Чтобы все было хорошо - переписывайте свой чат. А конкретно - фильтрацию пришедших к вам ЛЮБЫХ данных.
Странный вопрос... InetCrack - программа для отсылки любых HTTP пакетов на сервер... Как от нее можно ЗАЩИТИТЬСЯ?
Честно говоря, я себе эту грустную ситуацию так себе и представлял... И чат рвались переписать уже многие, очень многие... А хочешь, щас сделаю ситуацию ещё безнадёжнее??? У нас там админа на чате - нету ни фига... И пароль от админы не знает никто. А что касается скриптов... Видишь, я в этом деле не очень хорошо разбираюсь, могу тебе лишь сказать, что специально для этих целей - подвесить броузер - была создана страница dad-ie.narod.ru. Страничка убивает ЛЮБОЙ БРОУЗЕР. Мозилла летает, как помойная тряпка. Насколько я понял, "шутник" посылает в привате скрипт с переадресацией на эти самые убойные страницы... И виснет тогда у тебя броузер, и дисковод постоянно трещит... А вообще, я так понял - чат - дыра просто, он почти любой скрипт пропустит, какой хочешь. Я эти скриптов - во насмотрелся! Ещё дёрнули скрипт с античата - Multiple windows - он Касперским распознаётся как NoClose троян. Вот так грустно всё.
Опять же можно... Я кажется запамятовал упомянуть один интересный факт... Когда сидишь под старым Netscap ом 4-ой версии, то скрипты до тебя практически не доходят.... То есть, отсюда вывод: Нетскейп части скриптов - вообще не видит! Только им и спасаюсь. Попробовал Netscape 7.2, Мозилу 6-ой версии, Оперу 7.5 и 8.1, Avant, Netcaptor (последние, скорее являются просто скинами для ИЕ) - всё бесполезно. Ну, ественно, отключал вообще всё, кроме сессионных куков - актив икс, скрипты, и т.д. Всё-равно не помогали. Так как же можно сделать так, чтобы компьютер пользователя не видел большинства скриптов? И это с учётом того, что доступа к админе (см. выше) у нас нет... ЗЫ. Аутпост агнитум - не помогает, да и как он может помочь, коли всё дело в броузере???
Ээээ.... уважаемый.... дело-то не во флуде вовсе было... Хотя и он с помощью Инэт-кряка становится возможней возможного.
Проблема не в Браузере, а в Чате. Браузер выполняет и отображает только то - что ему дают отобразить. Вот и ищите Админа и просите его переписать чат. Пусть ВСЕ ПЕРЕДАННОЕ скриптам Чата ставит на фильтрацию. Можно, например, если встретит в мессаге английские буквы: "a", "A", "o", "O", "e", "E", "c", "С", "M" переконвертировать их в русские буквы, которые визуально идентичны. Можно вырезать/подменять всякие символы: | : ; / \ % И, я думаю, этого пока будет достаточно. ... Надо смотреть Чат, какие там используются скрипты и т.п. И после этого поотключать в браузере всякие редиректы/переходы, АктивыИксы, Джаву и т.п. Но выполнение сценариев просто так не отрубить. Так как чат наверняка использует Джаву. ... Почему Оутпост не поможет? Ну и настройте его на вырезание всяких перенаправлений, ифреймов и т.п. переходов.
Да, прикольная страничка. Но подвесить она меня несмогла, ну кроме Ослика. Прочсто долго думал пока не завершил операцию.
О!!! Ответь, пожалуйста, как это ты смог устоять??? Другая операционка? Спецовый плагин к какой-нибудь опере, или модный файерволл, о котором я ещё не знаю????? А как насчёт всех остальных скриптов - выдерживаешь, нет???
Адрес чата скинуть не могу - боюсь, припрётся толпа, и начнёт его ломать с ещё большим энтузиазмом. Типо, практика для детсада. А что до страничек - вот их адрес: dad-ie.narod.ru, но ведь проблема-то не в том, чтобы от СТРАНИЦ блокирнуться, а проблема в том, что через чат проходит практически любой скрипт\настройки - вплоть до изменения общего фона в чате, ну там, искажение фона и прочих игрушек. Так что увы. Как я уже понимаю, сейчас проблема стоит тока в броузере.
Я бы посоветовал попробовать отключать показ картинок в браузере. Потому что большя часть Xss на этом и строится как раз. Вспомните пример взлома Чата мэйл.ру от скальпеля. Чтобы защититься от того конкретного примера, можно было просто отключить графику
Это бы не спасло ... Картинка там загружалась посредством яваскрпта, а не только через стандартный img src ... Образно говоря, броузер "не знал" что загрузит ... Можно было бы впинуть скрипт через любой обработчик (онклик не рационален =) )
Нафига что-то опровергать если не уверен в своей правоте, или если вообще не понимаешь о чем идет речь Диман не важно как на странице появляется картинка. если отключена графика, то ничего не получится. попробуй сам в IE. в мозиле не знаю можно убирать картинки или нет. то же самое относится к атрибуту style со значением backgrpund KEZ во-первых я написал что это просто один из вариантов. Во-вторых через картинки на самом деле произвоодится бОльшая часть xss-атак. А лучше сам научи как защитить клиент от той атаки, если адрес чата не распространяется.
Да, коллега, полностью с вами согласен.. картинки - это далеко не выход, а этому летнему джазисту можно пожелать от души идти и играть джаз. Надеюсь, в музыке он больше шарит. ИТАК, КОЛЛЕГИ. ЧТО Я ОБНАРУЖИЛ ЗА ПРОШЕДШИЕ ВЫХОДНЫЕ. Мысль была настолько проста, что я успел обозвать сам себя кретином очень много раз... В общем. На чате орудуют ничем иным, как java-scriptom. У Netscape 476, как у очень древней версии, поддерживающей и пытающейся продвинуть свои собственные стандарты (не будем забывать, это то далёкое время, когда Netscape был королем, и пытался трепыхаться с каким-то своим стандартом) ОН ПРОСТО НЕ ИМЕЕТ ПОДДЕРЖКУ ДЖАВА СКРИПТОВ КАК ТАКОВЫХ - ВООБЩЕ. А если в дополнительных свойствах ИЕ отключать джава-скрипты. то всё-равно ничего не получается. Однако... если взять Мозиллу.... файерфокс скажем... Или даже оперу (кстати, удивительно уёбищный броузер, такая дутая реклама, и такой обрез на возможностях) то.. Проблема решается!!!! Ураа!!! Седлай коня, дорогая, решение я нашёл, скоро вернусь домой с войны. Ан нет. С ПОДДЕРЖКОЙ РУССКИХ ШРИФТОВ И КОДИРОВОК У ОПЕРЫ И ФАЙЕРФОКСА - ПОЛНАЯ ЖОПА. Ну, вообще то есть. Есть спецовые проги для оперы. для файерфокса. Но всё-равно остаются пару косых, которые лично я вообще не могу подправить!!!!! Увы.. это уже обсуждение для другой темы форума..... Спасибо всем тем, кто ответил. вы подарили мне массу размышлений... если кто-то знает ещё какие-нибудь способы защиты. пожалуйста. пишите сюда. Очень буду признателен.
