WWW hacking a obrana / 10. časť

Ten­to­raz sa po­zrie­me na po­sled­né spô­so­by, kto­ré mô­že útoč­ník po­užiť na in­jek­to­va­nie kó­du do strán­ky. Ne­za­bú­daj­te však, že sme tu nes­po­me­nu­li všet­ky, nie je to mož­né, pre­to­že sa spô­so­by kom­bi­nu­jú a zá­ro­veň sa po­uží­va­jú hexade­ci­mál­ne a iné vy­jad­re­nia zna­kov, aby vek­tor (re­ťa­zec) pre­šiel filtra­mi XSS. Na kon­ci člán­ku však má­te uve­de­né lin­ky na web, kde náj­de­te ove­ľa viac vek­to­rov, kto­ré mô­že útoč­ník po­užiť, prí­pad­ne už bo­li po­uži­té pro­ti rôz­nym webo­vým ap­li­ká­ciám. Ďalej sa po­zrie­me na je­den za­ují­ma­vý pro­jekt o bez­peč­nos­ti webo­vých ap­li­ká­cií a na­ko­niec za­čne­me pre­be­rať spô­sob prá­ce filtra vek­to­rov XSS.9. spô­sob Ten­to spô­sob po­uží­va tag de­fi­nu­jú­ci zvu­ko­vý sú­bor, kto­rý hrá na po­za­dí strán­ky. Preh­lia­dač Ope­ra však ak­cep­tu­je aj nas­le­du­jú­ci kód a zob­ra­zí ja­vas­crip­to­vý alert().
Článok je uzamknutý


Prihlásiť pomocou členstva NEXTECH