- Ako urobiť z linkov v code živé linky (pre Firefox a Operu)
- Volanie zadarmo cez zlatestranky.sk
- Zoznam freehostingov so subdomenami
- Vytvorenie CS 1.6 servera zdarma
- Free SMS cez internet
- Spider-Man: Web of Shadows
- Európski poslanci chcú chrániť deti pred zneužitím na internete
- Facebook hostuje až desať miliárd fotografií
- V USA majú nový anti-pirátsky zákon
- Apple odhalí nové MacBooky 14. októbra
XSS test #1: Zoznam.sk
Prehlásenie: Článok je napísaný len na vzdelávacie účely, za prípadné zneužitie autor článku ani prevádzkovateľ stránky nezodpovedá- V článku nájdete:
- Čo je PCBlog ST?
- Úvod do XSS
- Veľké portály a bezpečnosť
- XSS náchylnosti na Zoznam.sk
- Celkové hodnotenie Pozn.: Zoznam.sk od nás dostal e-mail s nájdenými bezpečnostnými chybami. Odpovede sme sa zatiaľ nedočkali (PCBlog ST)
- Čo je PCBlog ST?
- Úvod do XSS
- Veľké portály a bezpečnosť
- XSS náchylnosti na Zoznam.sk
- Celkové hodnotenie
- veľké množstvo okatých XSS chýb
- cez pár linkov možnosť vykonať XSS útok s ukradnutím cookies
- neschopnosť opraviť chyby za 3 dni
- XSS test #2: Centrum.sk (21. červenece 08, 18:07)
- Zoznam freehostingov so subdomenami (14. listopadu 08, 18:11)
- Zoznam najlepších hier na trhu (22. září 08, 07:09)
- XSS v praxi (14. červenece 08, 10:07)
- Orangeportal.sk (25. červenece 08, 12:07)
- XSS: 1.cz (27. červenece 08, 19:07)
- Cross-site scrtipting (XSS) (15. červenece 08, 09:07)
Prehlásenie: Článok je napísaný len na vzdelávacie účely, za prípadné zneužitie autor článku ani prevádzkovateľ stránky nezodpovedá
- V článku nájdete:
Pozn.: Zoznam.sk od nás dostal e-mail s nájdenými bezpečnostnými chybami. Odpovede sme sa zatiaľ nedočkali (PCBlog ST)
Čo je PCBlog ST? PCBlog Security Team je malá skupinka programátorov, ktorá sa rozhodla poukázať na nízku bezpečnosť SK/CZ webov.
Úvod do XSS XSS (Cross Site Scripting) je programátormi často podceňovaná chyba. Ide o útok na užívateľa priamo cez stránku zraniteľnú na XSS. Útočník naláka nič netušiaceho návštevníka na odkaz a môže tak získať úplnú kontrolu nad užívateľským kontom. Útočník využíva pri útoku JavaScript, ktorý sa vykonáva na strane užívateľa. XSS nastáva, keď dynamické webové stránky spracujú dáta podstrčené útočníkom a zobrazia výstup
Veľké portály a bezpečnosť Pred tým, než sme sa rozhodli preskúmať (ne) bezpečnosť portálu Zoznam.sk sme mali zmiešané pocity. Neverili sme, že nájdeme nejakú chybu. Možno ešte tú jednu. (PCBlog ST) Zoznam.sk je veľký portál a mnoho návšteníkov si často nedokáže predstaviť koľko nástrah na nich číha. Hlavné nebezpečenstvo ide práve z veľkých portálov, pretože práve na ne sa sústreďujú najrôznejší špekulanti, ktorí vás môžu touto cestou obrať o osobné údaje a tiež o prístupové heslá. Preto by sa nič podobné nemalo podceňovať, no zo skúseností vieme, že XSS odstránia skôr malé projekty, ktoré omnoho viac dbajú na bezpečnosť.
XSS náchylnosti na Zoznam.sk http://openiazoch.zoznam.sk/... - SCREENSHOT http://openiazoch.zoznam.sk/... - SCREENSHOT http://telefonny.zoznam.sk/... - SCREENSHOT http://futbal.zoznam.sk/... - SCREENSHOT http://pauzicka.zoznam.sk/... - SCREENSHOT http://cp.zoznam.sk/... - SCREENSHOT http://slovnik.zoznam.sk/ - SCREENSHOT U tejto stránky sa nám nepodarilo "pozliepať" URL, ale XSS tam je cez najzákladnejší skript.
- Celkové hodnotenie odolnosti: 6/10
Ďalší článok » (XSS test #2: Centrum.sk)
roach |
20. červenece 08, 14:07