id: Гость   вход   регистрация
текущее время 19:01 14/12/2019
Автор темы: poptalk, тема открыта 11/11/2007 15:01 Печать
Категории: софт, инфобезопасность, уязвимости, атаки, разграничение доступа
https://www.pgpru.com/Форум/Офф-топик/УязвимостьСОдногоСайтаВыполнитьКомандуНаДругом
создать
просмотр
ссылки

уязвимость: с одного сайта выполнить команду на другом


К какой категории относится (или как правильно называется) уязвимость, когда на одном сайте размещается ссылка или форма, которая выполняет на другом сайте некоторую команду (например, отправку денег злоумышленнику ;-) ). Жертва предварительно авторизована на этом другом сайте.


 
Комментарии
— Alex_B (11/11/2007 15:30)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Межсайтовый скриптинг
— SATtva (12/11/2007 12:25)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Термин cross-site scripting сам по себе довольно дурацкий, но имеет ещё более дурацкий перевод. "Cross-site", если дословно, — "по всему сайту". Т.е. суть в том, что взломщик использует недостатки фильтрации пользовательского ввода на динамически формируемом сайте, чтобы выполнить некоторое непредусмотренное разработчиком действие. Например, если бы в эту форму ввода комментария можно было засунуть javascript, это бы оказался замечательный способ для похищения чужих cookies и перехвата авторизованных сессий (для этого сайта, конечно).

XSS не предполагает обязательного наличия двух сайтов для проведения атаки, хотя в некоторых комплексных случаях и допускает такое.
— poptalk (12/11/2007 16:52)   профиль/связь   <#>
комментариев: 259   документов: 12   редакций: 3
Ясненько. Всем спасибо.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3