XSS útok není jenom sranda, tady jde o život(nebo jen o weby?). Objevil jsem XSS chybu u jednoho zábavního serveru e-zabava.net. Co všechno je XSS (Cross-site scripting)?
Celý článek je zveřejněn na mozektevidi.net/clanek/zabava-s-xss-na-e-zabava-net
mozektevidi.net 
mozek007©seznam.czTO Stoyan: Jojo, nostalgie z hacknutí sysla co :)
3.3.2007 So 16:56
hackpages.ic.cz profik123©gmail.comSry, za takovej bordel tady. Jen jsem něco zkoušel. Mimochodem měl by sis nejdřív zamést před vlastním prahem. Jde ti tady taky XSS :-D
4.3.2007 Ne 17:07
mozektevidi.net mozek007©seznam.czTO Profik123: Můžeš mi říci co to přesně dělá? Protože v Opeře vidím jenom odkaz na který nejde kliknout. V IE klikám na odkaz a nic se nestane. Ve FF jsem také nezaznamenal nic, pouze po kliknutí na odkaz vyskočí okno, kde oznamují, že odkaz je špatný. Nechápu co tu vidíš.
4.3.2007 Ne 17:18
mozektevidi.net mozek007©seznam.czTO Profik123: Tak jo, v Opeře se po kliknutí na odkaz vytíží CPU na 50%. To je vše nebo ještě něco v některém prohlížeči?
4.3.2007 Ne 17:21
'onMouseMove='alert(String.fromCharCode(88, profik123©gmail.comtest ještě jednou...
4.3.2007 Ne 18:04
'onMouseMove='alert(String.fromCharCode()) profik123©gmail.comsry znova
4.3.2007 Ne 18:06
hackpages.ic.cz profik123©gmail.comTen před tímhle konečně funguje. Je to vázaný na událost OnMouseMove, takže na ten odkaz musíš najet... :-P
4.3.2007 Ne 18:07
mozektevidi.net mozek007©seznam.czTO Profik123: reakce na »Profik123 13«: konečně funguje. Máš pravdu, přidám tedy ještě ENT_QUOTES snad je to konečné řešení. A ty první co jsi posílal také něco dělají? přišel jsem jen na to vytížení Opery a pád programu, což není málo SMIL
4.3.2007 Ne 18:28
hackpages.ic.cz profik123©gmail.com2MzK: No nedělají... vždycky jsem tam udělal někde chybu. Problém je ten, že ty tady máš pro adresu v MySQL rezervováno "jen" 40 znaků a s tím se toho nedá moc vymyslet :-)
4.3.2007 Ne 18:29
mozektevidi.net mozek007©seznam.czTO Profik123: Tak to zatížení Opery je fajn vedlejší účinek.
4.3.2007 Ne 18:44
mozektevidi.net mozek007©seznam.czTak jsem to snad opravil. Snad. Netestoval jsem všechny možnosti. Je možné, že to bude horší než to bylo
4.3.2007 Ne 22:47
e-zabava.net No, tak musím povrdit, že tento článek je pravda. Skutečně jsem požádal o pokus hacknout tento web. Jinak už je to opravené, jak můžete sami vidět, když zkusíte zadat do url, co je napsáno výše v článku - už jsou znaky odfiltrované.
Ještě bych rád vzpomenul, že po nějakém týdnu mi přišel e-mail o bezpečnostní chybě, která na webu je. Člověka, který mi o chybě napsal, neznám a o to více si vážím jeho solidnosti. Proto mu moc děkuji (kdyby na tuhle stránku náhodou narazil).
Ještě pro autora těchto stránek: Omlouvám se, že jsem ještě neumístil odkaz, ale psal jsem, že to bude s novým designem, kde bude na ten odkaz více místa. Bohužel jsem neměl čas na designu zapracovat, páč mám dost jiné práce, ale s novým designem odkaz určitě umístím ;-)
16.3.2007 Pá 16:35
mozektevidi.net/ mozek007©seznam.czTO 80rac3k: Budu si to pamatovat SMIL PS, i já dělám chyby --> mozektevidi.net/clanek/xss-na-mozektevid…
16.3.2007 Pá 16:47
OnMouseMove= alert(String.fromCharcode)) Pouze jenom zkouška to Xss si musím taky někdy vyzkoušet(NIC VE ZLÍM)
23.3.2007 Pá 20:51
mozektevidi.net/ mozek007©seznam.czTO :): Tak to zkus jinde, tu je to opravené 8-)
23.3.2007 Pá 20:55