Upload
thor-schroeder
View
44
Download
6
Embed Size (px)
DESCRIPTION
Art ūr Kobrov Janis Vepris IT3 Grupė. Tinkl ų saugumas. Cross-side scripting (XSS). Kas tai yra Kaip ir kada tai nutinka Kokios to priežastys. Kokie apsisaugojimo būdai Kokie sprendimo būdai. Laboratorinis įgyvendinimas. Resursai: Kompiuteris, web serveris, wordpress 3.0.3 , Naršyklė - PowerPoint PPT Presentation
Citation preview
Artūr KobrovJanis VeprisIT3 Grupė
Kas tai yra Kaip ir kada tai
nutinka Kokios to priežastys
Kokie apsisaugojimo būdai
Kokie sprendimo būdai
Resursai: Kompiuteris, web
serveris, wordpress 3.0.3, Naršyklė
JavaScript XSS nepriklauso nuo
naudojamų operacinių sistemų.
I web serverį įdiegėme wordpress 3.0.3
Prie įrašo Hello world paliekame komentarą su nuoroda <a HREF=“javascript:void(0);”>test</a>.Normaliai a href(mažosiom) panaikina pažeidžiamumą.
Javascript pagalba galima visaip iškraipyti mūsų puslapį, taipogi, jeigu prisijungęs vartotojas paspaustų ant nuorodos, galėtumę pavogti jo prisijungimo sesiją.
Gyvas pavizdys: http://kobrov.lt/XSS/?p=1#comments
www.dot.tkScriptas:http://my.dot.tk/registration/mailsignup?firstname=%22%3E%3Cscript%3Ealert('Tinklu%20saugumas')%3C/script%3E&lastname=fun
Real.comScriptas:http://www.real.com/realone/trial_terms.html?src=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
Yra specialūs XSS scan‘eriai, kurie aptinka pažeidžiamumus ir juos parodo.http://xss-scanner.com/
XSS duomenų bazės, su aptiktais pažeidžiamumais.http://www.xssed.com/
Rankiniu būdu beieškanthttp://ha.ckers.org/xss.html
$image = basename(filter_input(INPUT_GET, 'src', FILTER_UNSAFE_RAW, FILTER_REQUIRE_SCALAR | FILTER_FLAG_STRIP_LOW));
XSS atsiranda kai nepakankamai filtruojam įvedimo laukus. Reikia filtruoti bet kurį user inputą, bei QUERY STRING‘ą.
XSS būna dviejų tipų: Atvaizduojamas ir talpinamas.
XSS būna įvarių grėsmės lygių. Hackinti