WWW hacking a obrana / 9. časť
V tejto časti seriálu sa pozrieme na ďalšie spôsoby, ktoré mohol útočník použiť na injektovanie kódu do stránky. Nezabúdajte však, že ani zďaleka nejde o komplexný zoznam, nie je to ani možné, pretože spôsoby sa dajú kombinovať a zároveň sa používajú hexadecimálne a iné vyjadrenia znakov, aby vektor (reťazec) prešiel filtrami XSS. Na konci článku však máte uvedené linky na weby, kde nájdete oveľa viac vektorov, ktoré môže útočník použiť.
6. spôsob
Ide o klasické hexadecimálne vyjadrenie textového reťazca. Tag ![]()
musí byť, samozrejme, zapísaný ako text, ale po tom, ako parser internetového prehliadača vstúpi do tagu a začne parsovať jeho obsah, môže byť obsah vyjadrený aj hexadecimálnym zápisom, ako je to v tomto prípade.
Nasledujúci hexadecimálny reťazec obsahuje javascript:alert("XSS").
< IMG SRC=javascr& ...
Článok je uzamknutý
Prihlásiť pomocou členstva NEXTECH
Zobrazit Galériu
Článok je uzamknutý
Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU
Prihlásiť pomocou členstva NEXTECH
