• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

XSS и CSRF:Отличие и принцип действия

Информация XSS и CSRF:Отличие и принцип действия (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram
Пользователь X-Shar разместил новый ресурс:

XSS и CSRF:Отличие и принцип действия - Как защитися от XSS и CSRF

Всем привет !

Хочу поднять такую тему как защита от XSS и CSRF, а также что это такое...

Понятное дело, что от таких атак должен защищать вебмастер, т.е. там фильтрация данных, настройка сервера и прочие, но тем не менее пользователю тоже неплохо задуматься о защите, всё-же такие атаки идут именно на пользователя, а не на сервер или скрипт...

Итак что-же XSS:

XSS (англ. Cross Site Scripting — «межсайтовый скриптинг») —
Данная атака использует известные уязвимости в...
Узнать больше об этом ресурсе...
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Вот небольшой пример двух xss-уязвимостей.Здесь использован тестовый скрипт воспроизводящий музыку и визуально изменяющий элементы сайта
Во второй уязвимости как раз-таки и можно было применить так называемую CSRF-атаку.Проконсультировлся со специалистом в этой области.Вот его слова
Можно сделать что угодно, что не требует подтверждения на сайте. Постинг сообщений, смена аватара и других персональных данных. Пароль сможет поменять в том случае, если он сохранен браузером и вставлен в поле "старый пароль". А если админ попадется, то можно всяких ужастностей от его имени наделать
Поинтересовался как же проэксплуатировать.Он сказал,что не так уж и сложно.Нужен лишь фаербаг,для создания правильного запроса и редактор js,чтобы проверить скрипт на работоспособность.Но мне так и не удалось ничего толкового создать,знаний в этой области-нет.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram
А это не админ этого форума, потом по мойму на bhf.su создал тему с просьбой проэксплуатировать XSS ?Dmeh-Smeh-Smeh!!!

Вот реальный пример, но у меня что-то тоже не получилось...NO-no!!!

Вам нужно авторизоваться, чтобы просмотреть содержимое.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram
От CSRF есть защита, но форум в данном случае вроде вообще незащищён !

Также как и от XSS есть защита на стороне файервола, типо там Web Application Firewall, он предотвращает подозрительные запросы и загрузку подозрительных файлов...
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram