BgLOG.net 29.09.2016 SeoKungFu 223 прочитания

Дребен XSS проблем в системата на блога

Първо, моля без безпокойство, това не е сериозен проблем, поне не засега, но има едно място, при което невалидизирани параметри могат да причинят подобни видове, това се вижда само на локалния компютър, не е на сървъра, и нарочно е направено така да изглежда за забавлението :D
https://bglog.net/BGLog/documents/filteredlist?key=%3Cmarquee%20scrollamount=848%20bgcolor=red%3E%3Cfont%20size=78px%20color=yellow%3EPWND!

Тагове

бглог (16)

xss (1)

Коментари

Teri преди 9 години и 7 месеца

Това са така наречените вмъквания на код в базирани на ASP сайтове, по същия начин "вмъкнаха" видеото във сайта на НАП.

SeoKungFu преди 9 години и 7 месеца

Нарочно не исках да всявам паника, но това относително лесно може да ескалира, и моля те, не ме карай да го демонстрирам.
Правилното действие в случая е едно - "санитизиране" на тези параметри.

SeoKungFu преди 9 години и 7 месеца

През local rendered XSS може да станат такива чудеса, че после да ти запарят ушите, така че по-добре е "мечката да се върже" :D

Teri преди 9 години и 7 месеца

Разбрах къде е проблема. Благодаря. Ще работя за оправянето. Донякъде реших проблема, но ще го мъча още.

SeoKungFu преди 9 години и 7 месеца

И може да изпълнява жабаскрипт: https://bglog.net/BGLog/documents/filteredlist?key=%3Cscript%3Ealert(%27PWND%27);top.location.href=%22http://dnevnik.bg/%22;%3C/script%3E