Сообщение от
Constantine
[о чем?]
В последнее время все больше и больше говорят о том что эта уязвимость себя изжила, что она не опасна, бессмыслена наконец и поэтому нет смылса обращать на нее пристальное внимание, в.т.ч и администраторм.
Во первых, что уязв. себя изжила начали говорить еще много лет назад, до того как я сюда пришел, до того, как мы придумали функционал, вложенные/спаренные теги, до того, как пользователей mail.ru каждый день кто-то по новой баге натягивал, до того, как каждую неделю, экперты со всего мира, бежали на этот форм за новым адвисом в очередном форуме, чтоб предрать его в свой багтрак, и что самое интересное, те кто говорил что бага изжила свое, всетаки пордолжали говорить об этом все это время, закрывая глаза на неимоерные результаты("мол, я не знаю этой баги, значит она бесполезна, значит и защищаться от нее не надо." вот такие вот это люди, кто так говорил, такие вот эксперты). Но только зачем обращать на таких людей внимание, которые только и говорят, 3 года они просто чесали языки, когда мы работали, и действительно, ru/ua показали, что в мире, мы действительно на вершине, мы раскрутили данный вид атак на сверх высокий уровень. А они все говорят-говорят и вообще ничего кроме этого не делают.... хех, ну и пусть, раз мозгов больше ни на что нету.
Второе, так говорит тот, кто с ней никогда не сталкивался, или не ощутил ее результатов, по большей части из-за непорффесионализма взломщика.
Сообщение от
Constantine
Почему же при всех этих несомненных приимуществах XSS находяться люди(причем порой достаточно авторитетные) которые считают эту уязвимость вчерашним днем?
ну конечно, атака на пользователей их сайта, а не на сам сайт, разве является проблемой. К тому же они не сталкивались с очень серьезными XSS, благодаря которым, могут и денежки с кошелька уплыть, и сайт задефейситсо активом.
Сообщение от
Constantine
Крис Касперски:<...>В лучшем случае, злоумышленник получает доступ к кукисам(хранящим массу конфиденциальной информации). В худшем же-полностью захватывает управление удаленной машиной. Это вполне серьозная угроза, с которой необходимо считаться.
+1
Сообщение от
Constantine
любой уязвимостью надо ументь грамотно распорядиться и тогда она превращаеться в очень серьозную угрозу, я склонен с ним согласиться, ведь, на мой взгляд, отсюда и все проблемы: из-за недостаточного понимания уязвимости, нежелания ее изучить и возникают такие суждения: мол, я не знаю этой баги, значит она бесполезна, значит и защищаться от нее не надо.
+111111111111111111111
Сообщение от
+toxa+
Если других вариантов нет, то xss... кста, с помощью неё и троянить народ мона)
ога-ога
Че, насчет меча не прав, насчет форуа прав )), а насчет меча не прав. Пример, вспомни пхпбб, сначала были xss в простых бб тегах, залатали, потом вложенные, залатали, потом вложенные 3 и 4-ные, которые придумал WJ. В любом случае, взлом от защиты не намного уж и отстает. Еще больше прикол в том, что каждый из нас знает как сделать так, чтоб невозможно было взломать ниодин форум, только опять же к нашему мнению никто не прислушивается, как и прежде. А зачем, XSS это же безделушка для младших класов....вот так и живем ))
C[]R3, ну блин, в код страницы внедряются вредоносные элементы/програмы/скрипты, которые при просмотре страницы пользователем троянят его, вот и все, если уж оч. просто.