Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

Archwium dla tagu ‘XSS’

Open redirect w helion.pl

Otwarte przekierowanie jest rodzajem ataku skierowanego na skrypty dokonujące przekierowanie użytkownika na inne strony. Skrypty takie charakteryzują się przekazywaniem adresu strony jako jednego z parametrów adresu URL. Przykładowy adres może mieć następujący format:

XSS w serwisie Wirtualnej Polski

Często podawanym sposobem na zabezpieczenie się przed atakami typu XSS jest usunięcie z danych przesyłanych od użytkownika wszystkiego znajdującego się pomiędzy znakami „<„, „>”. Działanie takie jest jak najbardziej prawidłowe w przypadku, gdy korzystamy z niego świadomie. Wiara, że użycie „magicznej” funkcji strip_tags (w przypadku PHP) w pełni nas obroni jest złudna.

Filtr XSS w IE8

Na oficjalnym blogu IE pojawił się wpis informujący o jednej z nowości dodanych do Internet Explorer 8 beta 2 mającej w znacznym stopniu zwiększyć bezpieczeństwo korzystania z Internetu. Mowa o filtrze XSS, który powstał we współpracy z teamem Security Vulnerability Research & Defense.

Niebezpieczeństwo HTML’a

Od dawna w Internecie przyjęło się, że ataki z rodziny HTML Injection są mało groźne i nie warto się nimi przejmować. Potwierdzeniem tego faktu jest ogromna liczba podatnych stron, w skład których wchodzą takie serwisy jak Onet, Wirtualna Polska, Gazeta.pl, a nawet YouTube. Faktem decydującym o takim stanie rzeczy jest utożsamianie tych ataków z niegroźnymi […]

Phishing w Pasażu Wirtualnej Polski

. grzech: brak filtracji szukanego słowa konsekwencja: umożliwienie ataku XSS / CSRF – umożliwia to phishing Jednym z serwisów wchodzących w skład portalu Wirtualna Polska jest Pasaż. Umożliwia on właścicielom sklepów internetowych prezentacje swoich produktów na łamach WP. Kluczowym elementem Pasażu jest wyszukiwarka umożliwiająca odnalezienia w gąszczu produktów tego, którym jesteśmy zainteresowani. Wpisywane słowo kluczowe […]

Błędy na DobraOpcja.pl

. grzech: brak filtracji danych konsekwencja: podatność na XSS, SQL Injection, CSRF możliwość usunięcia konta innego użytkownika Serwis DobraOpcja.pl jest polskim klonem MySpace’a. Jak na serwis web dwa zerowy przystało znajdziemy tam pastelowe kolory, zaokrąglone rogi, oraz jako że jest to polskie web 2.0 – błędy. Błędy, które możemy znaleźć to XSS (wstrzyknięcie własnego kodu […]

Kiepskie filtrowanie house.pl

. grzech: tworzenie własnego systemu filtrowania nieuwzględniającego funkcji natywnych konsekwencja: możliwość wstrzyknięcia kodu działającego po stronie klienta W ubiegłorocznej edycji WebStarFestival strona marki House została nagrodzona w kategorii „Odzież, moda i uroda”. Jak widać nie ocenia się tam poprawności stworzonego kodu.

Poszerzanie portfolio

O zlecenia.przez.net Nasz serwis powstał w celu kojarzenia specjalistów z danej dziedziny z tymi, którzy akurat poszukują takich właśnie fachowców. Dzięki naszemu serwisowi firmy, a także osoby prywatne mogą ogłaszać „konkursy” czy „przetargi” na realizację konkretnego pomysłu. Zarejestrowani w naszym serwisie „developerzy” odpowiadają na takie ogłoszenie składając swoje oferty. Licytacja przebiega aż czas ogłoszenia minie. […]

YouTube transmituje XSS

O YouTube YouTube is a place for people to engage in new ways with video by sharing, commenting on, and viewing videos. YouTube originally started as a personal video sharing service, and has grown into an entertainment destination with people watching more than 70 million videos on the site daily.

Digart przekolorowany

O Digart Serwis digart.pl jest serwisem internetowym adresowanym do twórców sztuki cyfrowej , który obejmuje różnorodne dziedziny sztuki: od grafik, rysunków, poprzez fotografie, projekty stron internetowych, a skończywszy na poezji, prozie i innych obszaraqch sztuki. Serwis digart.pl umożliwia umieszczanie prac (graficznych oraz tekstowych) oraz ich prezentację na stronach serwisu.