Xss: Cегодня и вчера. Опрос

Discussion in 'Болталка' started by Constantine, 18 Feb 2007.

?
  1. Да, я считаю XSS серьозной уязвимостью

    98 vote(s)
    56.3%
  2. Эта уязвимость вчерашний день, но все-таки иногда актуальная

    67 vote(s)
    38.5%
  3. Абсолютно бесполезная бага

    9 vote(s)
    5.2%
  1. je0n

    je0n Elder - Старейшина

    Joined:
    14 May 2006
    Messages:
    345
    Likes Received:
    96
    Reputations:
    41
    *Эта уязвимость вчерашний день, но все-таки иногда актуальная

    я так ответил. Хотя при складывании определенных условий - эта атака становиться опаснее инклуда и инжекшена. При условии, что у тя есть сплоет под нужный броузер конечно ;) А если у тебя есть этот сплоет и активная xss на майл - можно протроянить пол страны и тебя даже не заметят ).
    Короче в большинстве случаев - безполезна. Но при складывании определенных условий - становиться термоядом
     
  2. devil2007

    devil2007 Banned

    Joined:
    18 May 2006
    Messages:
    184
    Likes Received:
    73
    Reputations:
    -14
    xss рулит))) Дырки... Вон в соседний теме кто-то xss в нашей планете нашёл) Увязимость планеты)

    А так я ответил за

     
  3. NOmeR1

    NOmeR1 Everybody lies

    Joined:
    2 Jun 2006
    Messages:
    1,068
    Likes Received:
    783
    Reputations:
    213
    Я, не подумав, ответил "Эта уязвимость вчерашний день, но все-таки иногда актуальная", но, поразмыслив, понял, что ХСС в наше время доволько актуальная уязвимость.
     
  4. Mars803

    Mars803 New Member

    Joined:
    8 May 2009
    Messages:
    12
    Likes Received:
    3
    Reputations:
    0
    XSS которая влечёт за собой последовательную работу с переменной (например вывод её на экран другим пользователям, запись в базу и тп) она опасна, а остальные почему то я думаю фильтровать не обязательно, только взгляните:
    PHP:
    <?php
    if(isset($_GET['gg']))
    {
    echo(
    $_GET['gg']);
    }
    else
    {
    echo 
    'server need a command';
    }
    ?>
    скрипт выводит на экран содержимое переменной, чем он может быть опасен? Да ничем, всё что туда введено будет обрабатываться как string а не как php код, запросы типа ?gg=<script>*** ничего не принесут т.к. другие это не увидят, запросы вида ?gg=';?>/?gg=']);?%3E тоже ничего не дадут так как обработаются как string, вот так вот.
     
  5. GrinGoO

    GrinGoO Elder - Старейшина

    Joined:
    1 Jul 2008
    Messages:
    98
    Likes Received:
    95
    Reputations:
    -1
    блять тема 2007 года нахуиа так делать?
     
  6. Mars803

    Mars803 New Member

    Joined:
    8 May 2009
    Messages:
    12
    Likes Received:
    3
    Reputations:
    0
    GrinGoO, извините я по поиску её нашёл
     
  7. Twoster

    Twoster Members of Antichat

    Joined:
    20 Aug 2008
    Messages:
    287
    Likes Received:
    402
    Reputations:
    159

    Ты бы сначала почитал что такое Ксс... причем тут пхп код и ксс? =\
     
  8. Mars803

    Mars803 New Member

    Joined:
    8 May 2009
    Messages:
    12
    Likes Received:
    3
    Reputations:
    0
    Вопрос в другом надо ли тут фильтровать $_GET['gg']
     
  9. Twoster

    Twoster Members of Antichat

    Joined:
    20 Aug 2008
    Messages:
    287
    Likes Received:
    402
    Reputations:
    159
    Надо.
     
  10. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    732
    Likes Received:
    646
    Reputations:
    251
    <kznm, на тебя нету слов.
     
  11. Mars803

    Mars803 New Member

    Joined:
    8 May 2009
    Messages:
    12
    Likes Received:
    3
    Reputations:
    0
    Twoster, ну и зачем?
     
  12. Twoster

    Twoster Members of Antichat

    Joined:
    20 Aug 2008
    Messages:
    287
    Likes Received:
    402
    Reputations:
    159
    хм... действительно интересный вопрос.... давай я тебе не буду писать умные вещи, пообщаемся с тобой на одном уровне.

    Вот к примеру у тебя есть дом, в нем замок, есть ключ. Нужно ли ключ брать с собой, или можно оставлять в замке? Если ты ответишь, что брать с собой/прятать/etc, то повторю твой вопрос " ну и зачем?"
     
  13. Mars803

    Mars803 New Member

    Joined:
    8 May 2009
    Messages:
    12
    Likes Received:
    3
    Reputations:
    0
    Twoster, некорректный ответ, покажи мне что можно сделать через эту мега уязвимость?
    http://total.far.ru/dirka.phtml?gg=']);?%3E
     
  14. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    732
    Likes Received:
    646
    Reputations:
    251
    Ну ты понел.
    хватит ПИСАТЬ, попробуйте сначала хоть что-то ЧИТАТЬ !!! (c) Jokester.
     
  15. Mars803

    Mars803 New Member

    Joined:
    8 May 2009
    Messages:
    12
    Likes Received:
    3
    Reputations:
    0
    http://total.far.ru/dirka.phtml?gg=%3Cscript%3Ealert('XSS');%3C/script%3E НИчего не даст я же написал, эта переменная никуда не записывается и нигде не используется, вывод ты увидишь только у себя на экране, ну возможно у тебя повысится ЧСВ это максимум
     
  16. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    732
    Likes Received:
    646
    Reputations:
    251
    Пойдём по другому, зачем нужна XSS?
     
  17. aka_k4

    aka_k4 Member

    Joined:
    5 Feb 2009
    Messages:
    107
    Likes Received:
    30
    Reputations:
    0
    в Книге " Методы атак веб приложений" Товарищ Кузя, доходчиво расписал эту уязвимость придав ей класс критической.. хз...
    Сам лично пару раз уводил куки...считаю што в арсенале держать все жэ надо...
     
  18. LStr1ke

    LStr1ke Elder - Старейшина

    Joined:
    29 Jul 2009
    Messages:
    801
    Likes Received:
    145
    Reputations:
    73
    Ну возможно у вас стоит и приписка к IP и повторная авторизация в админку или что-то еще.
    было дело давно как-то полазив на сайте одного из хостеров обнаружил пассивную xss, там же был опенсорс форум, проводив админа форума на xss получил его, куки, но в админку не зайти изза привязки к IP. Зная сорцы форума я составил xss, чтобы админ добавил нового админа. Опять проводив админа на скрипт, я вошел в админку, в которой можно было добавлять файлы на сайт.
    Я к тому, что XSS будет всегда актуальной багой. И не обращать на нее внимание сверх невежества.
     
    #38 LStr1ke, 4 Dec 2009
    Last edited: 4 Dec 2009
  19. Twoster

    Twoster Members of Antichat

    Joined:
    20 Aug 2008
    Messages:
    287
    Likes Received:
    402
    Reputations:
    159
    Даю наводку, КСС не всегда юзается для угона кукисов. =)
     
  20. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    732
    Likes Received:
    646
    Reputations:
    251
    XSRF не в счёт :)
     
Loading...
Similar Threads - Cегодня вчера Опрос
  1. Matrix001
    Replies:
    1
    Views:
    1,119