В этой теме я хотел бы затронуть такой аспект безопасности, как счетчики, которые у всех стоят внизу сайта.
Многие могут удивиться. мол чем может быть опасна маленькая картинка, простой GIF файл?
Чем опасны "левые" счетчики
Тема закрыта
652
AlkatraZ
12 июн 2009 г., 11:37
╭∩╮ (`-`) ╭∩╮
AlkatraZ
12 июн 2009 г., 11:40
╭∩╮ (`-`) ╭∩╮
Хакеры со стажем меня сразу поймут 
Опасна данная ситуация тем, что эта самая картинка находится не на Вашем сайте, а открывается с другого.
И если недобросовестный админ того каталога, включит в тэг <img> какой-нибудь вредный код - вот Вам и XSS уязвимость.
А чем она может грозить - почитайте сами в инете, благо уже много про это писалось и немало сайтов пострадало.
Опасна данная ситуация тем, что эта самая картинка находится не на Вашем сайте, а открывается с другого.
И если недобросовестный админ того каталога, включит в тэг <img> какой-нибудь вредный код - вот Вам и XSS уязвимость.
А чем она может грозить - почитайте сами в инете, благо уже много про это писалось и немало сайтов пострадало.
вот поетом я не ставил себя каталогов , вот и сказочки конец
AlkatraZ
12 июн 2009 г., 11:43
╭∩╮ (`-`) ╭∩╮
И еще одно предупреждение, чтоб не юзали неизвестные, мелкие счетчики.
Там ситуация может быть другая.
Хозяин каталога может и глубоко не разбираться в скриптах. А в его скриптах могут быть и уязвимости.
---
Представьте себе ситуацию (вполне реальную), что хакер получил доступ к его скриптам. Но не стал уничтожать базу, или как-то себя проявлять, а просто внедрит в этот самый значек счетчика <img> какой-то вредный код.
Результат этого сами можете себе представить.
У всех сайтов, что находятся в этом каталоге, будет XSS уязвимость
Там ситуация может быть другая.
Хозяин каталога может и глубоко не разбираться в скриптах. А в его скриптах могут быть и уязвимости.
---
Представьте себе ситуацию (вполне реальную), что хакер получил доступ к его скриптам. Но не стал уничтожать базу, или как-то себя проявлять, а просто внедрит в этот самый значек счетчика <img> какой-то вредный код.
Результат этого сами можете себе представить.
У всех сайтов, что находятся в этом каталоге, будет XSS уязвимость
FlySelf
12 июн 2009 г., 11:44
аkа ПьяНый Ангел
ну с лордом другая ситуация была вроде как, а воще при взломе что показывал лорд настраражило одно, он админ на том сайте.gif)
мне кажеться что там тупо он дал права тому челу, тот написал новость - и он снял)) вот и все
мне кажеться что там тупо он дал права тому челу, тот написал новость - и он снял)) вот и все
AlkatraZ
12 июн 2009 г., 11:44
╭∩╮ (`-`) ╭∩╮
Мой долг предупредить новичков.
А то они любят коллекционировать всякие говно-счетчики, напихают их штук 10 или даже больше, а потом удивляются что их ломают
А то они любят коллекционировать всякие говно-счетчики, напихают их штук 10 или даже больше, а потом удивляются что их ломают
AlkatraZ
12 июн 2009 г., 11:45
╭∩╮ (`-`) ╭∩╮
FlySelf (12.06.2009/12:44)Не, там скорее всего была ситуация в том. что горе-хозяин сайта включил ББкод [img] а я ведь МНОГО раз предупреждал о его опасности.
ну с лордом другая ситуация была вроде как, а воще при взломе что показывал лорд настраражило одно, он админ на том сайте
Krite
12 июн 2009 г., 12:06
А можно же как то фильтровать эти картинки
Каренина
12 июн 2009 г., 13:49
(love)лю тво(you) улыбку ;)
Krite (12.06.2009/13:06)ни можно ..
А можно же как то фильтровать эти картинки
AlkatraZ
12 июн 2009 г., 14:04
╭∩╮ (`-`) ╭∩╮
Krite (12.06.2009/13:06)Можно, но это нужно отдельно изучать данный вопрос.
А можно же как то фильтровать эти картинки
Я пока этим не занимался и поэтому не могу дать точный ответ.
---
Поюзайте сами Гугл на тему "XSS уязвимость"
Всего: 21
© 2024, JohnCMS