[ Webhosting profitux.cz ]
v6ak [ programování, bezpečnost, web, php, java, ... ] (Vít Šesták)
Buzz - v6ak Twitter - v6ak

štítky

XSS jak možná neznáte -> 1 - úvod

Co všechno lze nazvat cross-site-scriptingem (XSS)? Kdo může být viníkem (děravým) u XSS?

Začínám tedy trošku teoretickým úvodem do XSS. Další díl by měl být již o něco praktičtější.

Co je XSS?

Cross-site-scripting znamená v překladu „skriptování napříč sídly“. Sídlem se rozumí webové sídlo - nějaká doména.

Je to vlastně jakákoli metoda obejítí tzv. mezidoménových omezení. (Buď jde o příčinu obejítí, nebo o důsledek.) Za normálních okolností totiž nemůže v prohlížeči skript z jedné domény ovlivňovat stránky z jiné domény. Například www.google.com nemůže ovlivňovat doménu mail.google.com. Je to z bezpečnostních důvodů - vizte následující odstavec.

Rizika XSS

Mezidoménová omezení tu určitě nejsou pro srandu králíků. Máme doménu útočníka a.com, která se pokusí napadnout doménu b.com cross-site-scriptingem. Pokud se mu to podaří, doméně b.com hrozí například toto:

Kdo způsobuje XSS?

Když už mluvím o XSS, možná vás napadne otázka „Kdo ho způsobuje?“. Jsou zde apoň tří možnosti:

XSS způsobený chybou webové stránky

Toto je asi nejznámější druh XSS. A taky nejzajímavější. Dále budu mluvit jen o něm.

XSS způsobený chybou webového prohlížeče (nebo jeho komponenty)

Ani autorům prohlížečů a rozšíření do nich nelze přisoudit bezchybnost. Já znám jeden starý trik, který fungoval ve Firefoxu s nainstalovaným rozšířením Tabbrowser Extensions a asi i v Internet Exploreru. MSIE již byl záplatován a Tabbrowser Extensions se asi již nějakou dobu nevyvíjí, protože se asi na to autor kvůli mnoha chybám vykašlal.

Postup byl velmi jednoduchý. Stačilo otevřít (i)frame nebo okno s adresou stránky, na které chci vykonat XSS, a potom v daném okně/(i)frame otevřít adresu javascript:muj%20skriptik. A bylo to. Oboje jede v TBExt+FF a jedno z toho asi jelo v nezáplatovaném IE.

XSS na vyžádání uživatelem

Existují speciální případy, kdy uživatel si sám způsobí XSS. Typický případ je, že uživatel zadá adresu javascript:... do prohlížeče. Nemusí to být vždy škodlivé. Asi jste se již setkali s bookmarklety. Na tomto principu fungují.

Diskuzi ke článku naleznete zde.

Články z této skupiny

Linkování

Líbí se Vám tato stránka? Zalinkujte ji!

Chcete sledovat novinky? Pokud si právě prohlížíte článek a hledáte RSS pro celý web, pak jste trošku jinde. Možná hledáte poslední změny.

Validní HTML 4.01 StrictValidní CSS 2.0Validní hlavní RSS kanálPHP 5Apache
referer: UA:CCBot/2.0 (http://commoncrawl.org/faq/) time:0.86701800 1513497277
web
mail
comment