Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  5 1459
visualn00b
Semiconductor
visualn00b's Avatar
565 147
7. mai 2013
Hei Freaks

Jeg fant for en stund siden ut at skole nettsia vår "webskviser.com" er sårbare for XSS(cross site scripting)

Det jeg nå senere har funnet ut, er at jeg kan sende folk til den nettsiden jeg vil, via webskviser... Er dette sårbart?

denne linken skal ta deg til freak.no - Hvis ikke, så har cookien gått ut...


mvh Visualn00b
paddus
paddus's Avatar
608 193
7. mai 2013
xss er ikke så farlig, men du kan gjøre ting some cookie stealing
visualn00b
Semiconductor
visualn00b's Avatar
Trådstarter
565 147
7. mai 2013
Ok ok.. skjønner Tenkte det kunne brukes til noe morro, hehehe...

Ser at linken ikke redirecter lenger... så nå må du:

1. Gå til http://www.webskviser.com/wsapps/ans...20LD07Vavd=SEL

2. Skriv inn: <IMG """><SCRIPT>alert(document.location='http://www.freak.no')</SCRIPT>">
i tekstfeltet midt på skjermen.

3. trykk "OK" TO ganger...

4. Bli redirecta til Freak.no
Restyle
exquisite
Restyle's Avatar
4.700 1.391
7. mai 2013
Sitat av paddus Vis innlegg
xss er ikke så farlig, [...]
Vis hele sitatet...
Så sant du gir langt faen i sikkerhet. XSS er helt klart et stort sikkerhetsproblem, og bør således bli tatt seriøst.
paddus
paddus's Avatar
608 193
7. mai 2013
Sitat av Restyle Vis innlegg
Så sant du gir langt faen i sikkerhet. XSS er helt klart et stort sikkerhetsproblem, og bør således bli tatt seriøst.
Vis hele sitatet...
sammenlignet med andre hull som blind sql injection etc så vil jeg ikke si at det er ett veldig stort hull
s1gh
s1gh's Avatar
1.785 384
7. mai 2013
Sitat av paddus Vis innlegg
xss er ikke så farlig, men du kan gjøre ting some cookie stealing
Vis hele sitatet...
XSS er ikke så farlig? Vel, det kommer jo veldig an på hvilken nettside man finner sårbarheten i, samt hvilken form for XSS det er snakk om.

Å stjele cookies kan jo være skadelig nok det, men hva om man har en persistant XSS-sårbarhet, og legger igjen en 1x1 px iframe som infiserer besøkende med malware?
Og hva om dette hadde skjedd på et større nettsamfunn, som f.eks. Twitter[1] eller Facebook?

Nå omhandler selvfølgelig denne tråden en langt mindre nettside enn f.eks. FB eller Twitter, men at XSS "ikke er så farlig" mener jeg er et forholdsvis dumt utsagn.

[1]: http://news.netcraft.com/archives/20...-xss-worm.html
MySpace, xss-angrep: http://en.wikipedia.org/wiki/Samy_(computer_worm)
Sist endret av s1gh; 7. mai 2013 kl. 14:51.