Сообщения со словом
«web-сайта»

1. 02.02.2011, 23:44. zubactik в теме
   «Старший разработчик Java, Align Technology, Москва, 80-150»
   ... архитектуры web-систем обязанности разработка и поддержка web-сайта компании взаимодействие с внутренним заказчиком...
2. 17.07.2008, 22:11. ~Ironia~ в теме
   «XSS - атаки в комметариях»
   ... ли файлы cookies или нет да они позволяют сохранять web-сайтам информацию на компьютере пользователя и потом использовать ее для предоставления персонализированного содержимого web-страниц в главе 9 мы уже видели что одним из способов использования cookies является хранение имени пользователя и пароля для осуществления последующего автоматического входа в большинстве случаев это очень удобно но далеко не безопасно меня не волнует что web-сайты могут сохранять в таких файлах информацию о том какие web-страницы я просматривал и чем я интересуюсь эту информацию можно сохранить и без cookies меня волнует то что эти данные может увидеть хакер один из способов воровства атака xss для реализации этой атаки хакеру необходимы базовые знания языка javascript этот язык очень прост и на первый взгляд абсолютно безобиден потому что не имеет доступа к ресурсам компьютера единственное что можно делать с помощью javascript управлять браузером но для хакера этого достаточно главное внедрить свой javascript код в web-страницу а дальше уже действовать по ситуации а ситуации бывают разные их изучением мы и займемся в этой главе ---------------------10 1 основы xss------------------- опять же все примеры сценариев в этой главе будут приведены на php почему повторюсь просто я его лучше знаю но это не значит что если сценарий написан на другом языке атака будет невозможной чаще всего xss подвержены web-сайты в которых используется аутентификация посредством данных хранящихся в cookies и есть возможность сохранять данные которые в дальнейшем будут отображаться на web-странице ярким примером такого web-сайта является форум давайте рассмотрим простейший пример использования уязвимости в листинге 10 1 приведен код сценария который отображает форму для ввода имени пользователя и текста сообщения полученные данные сохраняются в базе данных и отображаются на web-странице получается классическая гостевая книга листинг 10 1 html head title xss test title head body center h3 xss test h3 center hr form name messageadd method get имя input name username size 50 br сообщение textarea cols 65 name message rows 10 wrap virtual textarea br center center input type submit value send center form hr php соединение с базой данных mysql connect localhost root wf or die he могу подключиться к web-серверу выбор базы данных mysql select db udb539 or die he могу выбрать базу данных добавляем сообщение if isset get username username get username message get message result mysql query insert into nest news values null 1 1 1 username message 1 1 1 отображаем сообщения из базы result mysql query select poster name post text from minibbtable posts if mysql num rows result 0 print table width 100 border l print tr bgcolor aalblb print td font color ffffff user font td print td font color ffffff message font td print tr tr получаем результат запроса while line mysql fetch array result mysql assoc print tr print td line poster name td print td line post text td print tr print table body html he будем сейчас обращать внимание на то что в сценарии есть еще и ошибка позволяющая реализовать sql-инъекцию ведь получаемые от пользователя данные никак не проверяются нас сейчас интересует совершенно другое итак если пользователь просто оставляет текст сообщения то никаких проблем нет а что если в текст сообщения будет встроен javascript-код он будет выполнен а это серьезная уязвимость попробуем передать в тексте сообщения или имени пользователя строку script alert this is a test script эта строка является javascript-кодом который выводит на экран диалоговое окно с сообщением this is a test рис 10 1 рис 10 1 окно браузера с сообщением пока ничего страшного не произошло но предпосылки опасности уже есть первое что может натворить хакер сделать перенаправление на свою web-страницу для этого в тексте сообщения отправим следующий javascript-код script document location href http www vr-online ru script теперь при загрузке web-страницы пользователь будет перенаправлен на web-сайт указанный хакером в данном случае www vr-online ru как это можно использовать в корыстных целях помимо того что хакер получает трафик с чужого web-сайта он еще может украсть и пароли для этого можно создать web-страницу которая будет копией одной из страниц web-сайта трафик с которого воруется лучше будет создать...
3. 08.02.2008, 16:35. VAL в теме
   «Если сравнить!»
   ... дмитрия кираснова 4 д лещев создание интерактивного web-сайта 5 загуменнов а п как раскрутить web-сайт...