Cross-site scripting na stronie Netscape Strona główna Aktualności27.07.2006 11:57 Udostępnij: O autorze Grzegorz Niemirowski Na stronie Netscape.com należącej do AOL wykryto podatność na cross-site scripting. Umożliwiało to umieszczanie własnych skryptów, które mogły np. zmieniać wygląd strony bądź też zawierać wirusy. Netscape.com jest serwisem na którym użytkownicy mogą umieszczać swoje newsy, na które można potem głosować. Okazało się, że nie było wykonywane porządne sprawdzanie tekstu wpisywanego przez użytkowników przez co można było przemycić skrypt w języku JavaScript. Błąd istniał przez kilka godzin i był wykorzystywany do umieszczania pop-upów oraz przekierowań na konkurencyjny serwis Digg. AOL twierdzi, że w tym czasie nie umieszczono na stronie żadnego szkodliwego kodu. Przy okazji warto zauważyć, że obecnie wraz ze wzrostem interaktywności stron WWW coraz łatwiej jest się na nie włamać wykorzystując błędy w ich kodzie. Oprócz wspomnianego wstrzyknięcia kodu JS bardzo często udaje się też SQL injection. Kiedyś włamywano się głównie przez błędy w serwerach WWW albo systemach operacyjnych. Dziś te sposoby tracą na znaczeniu gdyż główny wpływ na bezpieczeństwo mają skrypty wykonywane na serwerze a pisane przez webmasterów, którzy z reguły mają mniejszą wiedzę z zakresu bezpieczeństwa od administratorów. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Brexit i Netscape: umowa handlowa opisuje antyki. Nadużyto "kopiuj-wklej"? 29 gru 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 59 Cybersquatting, ale inaczej niż zazwyczaj. Pisarz chce, aby ktoś znany przeczytał jego powieść 6 lut 2020 Piotr Urbaniak Internet Biznes Bezpieczeństwo 16 Windows 10 w miliardzie komputerów. Sukces 2 lata po terminie 31 sty 2020 Oskar Ziomek Oprogramowanie Biznes 131 AMD przekrzykuje się z Nvidią o pamięci i przynajmniej jedna strona kłamie 13 lis 2020 Piotr Urbaniak Sprzęt 17
Udostępnij: O autorze Grzegorz Niemirowski Na stronie Netscape.com należącej do AOL wykryto podatność na cross-site scripting. Umożliwiało to umieszczanie własnych skryptów, które mogły np. zmieniać wygląd strony bądź też zawierać wirusy. Netscape.com jest serwisem na którym użytkownicy mogą umieszczać swoje newsy, na które można potem głosować. Okazało się, że nie było wykonywane porządne sprawdzanie tekstu wpisywanego przez użytkowników przez co można było przemycić skrypt w języku JavaScript. Błąd istniał przez kilka godzin i był wykorzystywany do umieszczania pop-upów oraz przekierowań na konkurencyjny serwis Digg. AOL twierdzi, że w tym czasie nie umieszczono na stronie żadnego szkodliwego kodu. Przy okazji warto zauważyć, że obecnie wraz ze wzrostem interaktywności stron WWW coraz łatwiej jest się na nie włamać wykorzystując błędy w ich kodzie. Oprócz wspomnianego wstrzyknięcia kodu JS bardzo często udaje się też SQL injection. Kiedyś włamywano się głównie przez błędy w serwerach WWW albo systemach operacyjnych. Dziś te sposoby tracą na znaczeniu gdyż główny wpływ na bezpieczeństwo mają skrypty wykonywane na serwerze a pisane przez webmasterów, którzy z reguły mają mniejszą wiedzę z zakresu bezpieczeństwa od administratorów. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji