id: Гость   вход   регистрация
текущее время 13:29 28/03/2024
Автор темы: poptalk, тема открыта 11/11/2007 15:01 Печать
Категории: софт, инфобезопасность, уязвимости, атаки, разграничение доступа
http://www.pgpru.com/Форум/Офф-топик/УязвимостьСОдногоСайтаВыполнитьКомандуНаДругом
создать
просмотр
ссылки

уязвимость: с одного сайта выполнить команду на другом


К какой категории относится (или как правильно называется) уязвимость, когда на одном сайте размещается ссылка или форма, которая выполняет на другом сайте некоторую команду (например, отправку денег злоумышленнику ;-) ). Жертва предварительно авторизована на этом другом сайте.


 
Комментарии
— Alex_B (11/11/2007 15:30)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Межсайтовый скриптинг
— SATtva (12/11/2007 12:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Термин cross-site scripting сам по себе довольно дурацкий, но имеет ещё более дурацкий перевод. "Cross-site", если дословно, — "по всему сайту". Т.е. суть в том, что взломщик использует недостатки фильтрации пользовательского ввода на динамически формируемом сайте, чтобы выполнить некоторое непредусмотренное разработчиком действие. Например, если бы в эту форму ввода комментария можно было засунуть javascript, это бы оказался замечательный способ для похищения чужих cookies и перехвата авторизованных сессий (для этого сайта, конечно).

XSS не предполагает обязательного наличия двух сайтов для проведения атаки, хотя в некоторых комплексных случаях и допускает такое.
— poptalk (12/11/2007 16:52)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Ясненько. Всем спасибо.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3