Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
|
Результаты опроса: Считаете ли вы XSS реальной угрозой, или же бесполезной уязвимостью
|
|
Да, я считаю XSS серьозной уязвимостью
|
   
|
95 |
56.21% |
|
Эта уязвимость вчерашний день, но все-таки иногда актуальная
|
  
|
65 |
38.46% |
|
Абсолютно бесполезная бага
|
  
|
9 |
5.33% |
 |
|
19.02.2007, 19:07
|
|
[ розовый мафиозо ]
Регистрация: 16.03.2005
Сообщений: 301
Провел на форуме:
1736355
Репутация:
241
|
|
Сообщение от Constantine
[о чем?]
В последнее время все больше и больше говорят о том что эта уязвимость себя изжила, что она не опасна, бессмыслена наконец и поэтому нет смылса обращать на нее пристальное внимание, в.т.ч и администраторм.
Во первых, что уязв. себя изжила начали говорить еще много лет назад, до того как я сюда пришел, до того, как мы придумали функционал, вложенные/спаренные теги, до того, как пользователей mail.ru каждый день кто-то по новой баге натягивал, до того, как каждую неделю, экперты со всего мира, бежали на этот форм за новым адвисом в очередном форуме, чтоб предрать его в свой багтрак, и что самое интересное, те кто говорил что бага изжила свое, всетаки пордолжали говорить об этом все это время, закрывая глаза на неимоерные результаты("мол, я не знаю этой баги, значит она бесполезна, значит и защищаться от нее не надо." вот такие вот это люди, кто так говорил, такие вот эксперты). Но только зачем обращать на таких людей внимание, которые только и говорят, 3 года они просто чесали языки, когда мы работали, и действительно, ru/ua показали, что в мире, мы действительно на вершине, мы раскрутили данный вид атак на сверх высокий уровень. А они все говорят-говорят и вообще ничего кроме этого не делают.... хех, ну и пусть, раз мозгов больше ни на что нету.
Второе, так говорит тот, кто с ней никогда не сталкивался, или не ощутил ее результатов, по большей части из-за непорффесионализма взломщика.
Сообщение от Constantine
Почему же при всех этих несомненных приимуществах XSS находяться люди(причем порой достаточно авторитетные) которые считают эту уязвимость вчерашним днем?
ну конечно, атака на пользователей их сайта, а не на сам сайт, разве является проблемой. К тому же они не сталкивались с очень серьезными XSS, благодаря которым, могут и денежки с кошелька уплыть, и сайт задефейситсо активом.
Сообщение от Constantine
Крис Касперски:<...>В лучшем случае, злоумышленник получает доступ к кукисам(хранящим массу конфиденциальной информации). В худшем же-полностью захватывает управление удаленной машиной. Это вполне серьозная угроза, с которой необходимо считаться.
+1
Сообщение от Constantine
любой уязвимостью надо ументь грамотно распорядиться и тогда она превращаеться в очень серьозную угрозу, я склонен с ним согласиться, ведь, на мой взгляд, отсюда и все проблемы: из-за недостаточного понимания уязвимости, нежелания ее изучить и возникают такие суждения: мол, я не знаю этой баги, значит она бесполезна, значит и защищаться от нее не надо.
+111111111111111111111
Сообщение от +toxa+
Если других вариантов нет, то xss... кста, с помощью неё и троянить народ мона)
ога-ога
Че, насчет меча не прав, насчет форуа прав )), а насчет меча не прав. Пример, вспомни пхпбб, сначала были xss в простых бб тегах, залатали, потом вложенные, залатали, потом вложенные 3 и 4-ные, которые придумал WJ. В любом случае, взлом от защиты не намного уж и отстает. Еще больше прикол в том, что каждый из нас знает как сделать так, чтоб невозможно было взломать ниодин форум, только опять же к нашему мнению никто не прислушивается, как и прежде. А зачем, XSS это же безделушка для младших класов....вот так и живем ))
C[]R3, ну блин, в код страницы внедряются вредоносные элементы/програмы/скрипты, которые при просмотре страницы пользователем троянят его, вот и все, если уж оч. просто.
|
|
|
19.02.2007, 22:18
|
|
Постоянный
Регистрация: 17.09.2005
Сообщений: 375
Провел на форуме:
993362
Репутация:
175
|
|
знает как сделать так, чтоб невозможно было взломать ниодин форум,
либо я не понял смысла/направления фразы, либо ты что-то загнул.
|
|
|
|
19.02.2007, 22:31
|
|
Members of Antichat - Level 5
Регистрация: 24.11.2006
Сообщений: 927
Провел на форуме:
7192869
Репутация:
3033
|
|
Abra перечитай всю фразу человек говорит о том, что хакера не надо ненавидеть, а что к нему надо прислущиваться, тот кто учиться на своих ошибках- умен, дурак же так и будет считать что уязвимость "безделушка для младших классов" Классический пример приведен: Администратор РОЛа @Andy.
2PinkPanther Спасибо за очень развернутый комментарий, плюс поставил, жалко что тему выкинули в зону с отключенным счетчиком
__________________
Дети индиго - это бездари, не надо песен! В пять лет едва говорить начинают, мы в этом возрасте стихи наизусть читали!
з.ы http://www.youtube.com/watch?v=sNsQe0KByRY Я ПлакалЪ
|
|
|
|
19.02.2007, 22:44
|
|
Постоянный
Регистрация: 17.09.2005
Сообщений: 375
Провел на форуме:
993362
Репутация:
175
|
|
Abra перечитай всю фразу человек говорит о том, что хакера не надо ненавидеть, а что к нему надо прислущиваться
А, ну это безусловно. Программисты всегда считают что они умнее хакеров и прекрасно разбираются в том что пишут => не допускают дыр. Про простых админов которые начинают вопить какой ты плохой и нехороший, после того как ты показал им дыру в их проекте, я вообще молчу.
Спасибо за разъяснение.
|
|
|
|
20.02.2007, 01:25
|
|
Познающий
Регистрация: 16.01.2007
Сообщений: 37
Провел на форуме:
164161
Репутация:
20
|
|
c[]r3, ну блин, в код страницы внедряются вредоносные элементы/програмы/скрипты, которые при просмотре страницы пользователем троянят его, вот и все, если уж оч. просто.
да это я понял, линк бы кто дал с примерами таких скриптов =\
|
|
|
|
20.02.2007, 01:54
|
|
[ розовый мафиозо ]
Регистрация: 16.03.2005
Сообщений: 301
Провел на форуме:
1736355
Репутация:
241
|
|
Constantine тебе спасибо, за отличную тему для размышлений!!
и кстати незабывайте, именно блягодаря XSS, Куваев словил огромнейщий депресняк и чуть не убил Масяню в свое время))[a-chat], именно блягодаря XSS, было украдено около ляма акков livejournal[a-chat], именно блягодаря XSS, на MySpace появился первый в мире XSS червь, который непонятно почему, принес ей норм. убытков, ибо добавление себя в друзья, скриптом, они считают злостным досом)), именно блягодаря XSS, стало возможно без брута взломать фтп акк на народе, нм.ру, почте.ру[a-chat], именно блягодаря XSS, несколько моих элит уинов забанили(icq.com)[a-chat])), именно блягодаря XSS, я заработал в сети свой первый американский шекель[a-chat], именно блягодаря XSS.... и т.д. вобщем. Так что никак не соглашусь с тем, кто говорит что бага несерьезная. Да, в основном она направлена на пользователя, но как говорил Митник, человек самое слабое звено в системе защиты, и посему если взлом на систему должен быть осуществлен дальше, а дырок больше нету, то почему бы и не воспользоватся этим звеном!! Да и к тому же, с другой стороны, сейчас тенденция хэк комерции какраз и направлена на атаку именно на пользователей.
|
|
|
|
20.02.2007, 23:15
|
|
Познающий
Регистрация: 16.01.2007
Сообщений: 37
Провел на форуме:
164161
Репутация:
20
|
|
C[]R3
http://www.gnucitizen.org/categories/projects
http://www.gnucitizen.org/categories/projects/page/2/
/3/...
блин я думал уже были такие темы на ачате =(
придётся как обычно всё самому разруливать 
|
|
|
|
25.02.2007, 12:52
|
|
Постоянный
Регистрация: 04.02.2007
Сообщений: 424
Провел на форуме:
4516357
Репутация:
912
|
|
Xss - рулила и будит рулить.
|
|
|
|
25.02.2007, 12:56
|
|
Members of Antichat - Level 5
Регистрация: 09.10.2006
Сообщений: 1,698
Провел на форуме:
9098076
Репутация:
4303
|
|
вчера с Айсом на эту тему говорили, помойму "Эта уязвимость вчерашний день, но все-таки иногда актуальная"
|
|
|
|
01.03.2007, 02:48
|
|
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233
Репутация:
2726
|
|
* Эта уязвимость вчерашний день, но все-таки иногда актуальная
помоему XSS - это самый гибкий типа атаки. разновидностей много у нее всяких.
вообщем через эти иксэсэс и ломают всякие серьезные порталы, т.к. их можно встретить в любом месте сайта. но серьезной угрозой все-таки это не назвать потому что всё это ***ня.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для C[]R3](/avatars/avatar31875.gif){kind=avatar}
Похожие темы
Линейный вид
