|
Результаты опроса: Считаете ли вы XSS реальной угрозой, или же бесполезной уязвимостью
|
|
Да, я считаю XSS серьозной уязвимостью
|
   
|
95 |
56.21% |
|
Эта уязвимость вчерашний день, но все-таки иногда актуальная
|
  
|
65 |
38.46% |
|
Абсолютно бесполезная бага
|
  
|
9 |
5.33% |
 |
|
01.03.2007, 06:23
|
|
Постоянный
Регистрация: 14.05.2006
Сообщений: 334
С нами:
10522103
Репутация:
272
|
|
*Эта уязвимость вчерашний день, но все-таки иногда актуальная
я так ответил. Хотя при складывании определенных условий - эта атака становиться опаснее инклуда и инжекшена. При условии, что у тя есть сплоет под нужный броузер конечно  А если у тебя есть этот сплоет и активная xss на майл - можно протроянить пол страны и тебя даже не заметят ).
Короче в большинстве случаев - безполезна. Но при складывании определенных условий - становиться термоядом |
|
|
01.03.2007, 11:34
|
|
Banned
Регистрация: 18.05.2006
Сообщений: 150
С нами:
10516706
Репутация:
96
|
|
xss рулит))) Дырки... Вон в соседний теме кто-то xss в нашей планете нашёл) Увязимость планеты)
А так я ответил за
*Эта уязвимость вчерашний день, но все-таки иногда актуальная
|
|
|
|
11.03.2007, 01:36
|
|
Познавший АНТИЧАТ
Регистрация: 02.06.2006
Сообщений: 1,187
С нами:
10495046
Репутация:
2642
|
|
Я, не подумав, ответил "Эта уязвимость вчерашний день, но все-таки иногда актуальная", но, поразмыслив, понял, что ХСС в наше время доволько актуальная уязвимость.
|
|
|
|
03.12.2009, 14:35
|
|
Новичок
Регистрация: 08.05.2009
Сообщений: 16
С нами:
8952742
Репутация:
1
|
|
XSS которая влечёт за собой последовательную работу с переменной (например вывод её на экран другим пользователям, запись в базу и тп) она опасна, а остальные почему то я думаю фильтровать не обязательно, только взгляните:
PHP код:
<?php
if(isset($_GET['gg']))
{
echo($_GET['gg']);
}
else
{
echo 'server need a command';
}
?>
скрипт выводит на экран содержимое переменной, чем он может быть опасен? Да ничем, всё что туда введено будет обрабатываться как string а не как php код, запросы типа ?gg=<script>*** ничего не принесут т.к. другие это не увидят, запросы вида ?gg=';?>/?gg=']);?%3E тоже ничего не дадут так как обработаются как string, вот так вот. |
|
|
|
03.12.2009, 14:39
|
|
Участник форума
Регистрация: 01.07.2008
Сообщений: 172
С нами:
9401011
Репутация:
258
|
|
блять тема 2007 года нахуиа так делать?
|
|
|
|
03.12.2009, 14:46
|
|
Новичок
Регистрация: 08.05.2009
Сообщений: 16
С нами:
8952742
Репутация:
1
|
|
GrinGoO, извините я по поиску её нашёл
|
|
|
|
03.12.2009, 14:47
|
|
Reservists Of Antichat - Level 6
Регистрация: 20.08.2008
Сообщений: 328
С нами:
9328706
Репутация:
1503
|
|
Сообщение от Mars803
XSS которая влечёт за собой последовательную работу с переменной (например вывод её на экран другим пользователям, запись в базу и тп) она опасна, а остальные почему то я думаю фильтровать не обязательно, только взгляните:
PHP код:
<?php
if(isset($_GET['gg']))
{
echo($_GET['gg']);
}
else
{
echo 'server need a command';
}
?>
скрипт выводит на экран содержимое переменной, чем он может быть опасен? Да ничем, всё что туда введено будет обрабатываться как string а не как php код, запросы типа ?gg=<script>*** ничего не принесут т.к. другие это не увидят, запросы вида ?gg=';?>/?gg=']);?%3E тоже ничего не дадут так как обработаются как string, вот так вот.
Ты бы сначала почитал что такое Ксс... причем тут пхп код и ксс? =\
__________________
You may say I'm a dreamer
But I'm not the only one
|
|
|
|
03.12.2009, 14:52
|
|
Новичок
Регистрация: 08.05.2009
Сообщений: 16
С нами:
8952742
Репутация:
1
|
|
Вопрос в другом надо ли тут фильтровать $_GET['gg']
|
|
|
|
03.12.2009, 14:54
|
|
Reservists Of Antichat - Level 6
Регистрация: 20.08.2008
Сообщений: 328
С нами:
9328706
Репутация:
1503
|
|
Сообщение от Mars803
Вопрос в другом надо ли тут фильтровать $_GET['gg']
Надо.
__________________
You may say I'm a dreamer
But I'm not the only one
|
|
|
|
03.12.2009, 14:54
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
С нами:
9154406
Репутация:
2221
|
|
Сообщение от Mars803
Вопрос в другом надо ли тут фильтровать $_GET['gg']
<kznm, на тебя нету слов.
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
