Блог

Главная - Вопросы по программированию - XSS: это все еще проблема?

XSS: это все еще проблема?

#javascript #internet-explorer #google-chrome #xss

#javascript #internet-проводник #google-chrome #xss #internet-explorer

Вопрос:

Правильно ли я говорю, что XSS больше не является такой проблемой? Поскольку IE 8 / Chrome все равно блокируют это?

Комментарии:

1. Есть ли у вас ссылки на ресурсы, относящиеся к функциям обнаружения XSS в IE8 и Chrome?

Ответ №1:

Нет. Вы все еще можете использовать уязвимости XSS, если страница уязвима.

Комментарии:

1. Но не в IE8 и Chrome, так что, допустим, все мои пользователи используют этот браузер, тогда проблем нет, верно?

2. @Kevin — То, что эти браузеры добавили некоторую защиту, не означает, что все пробелы были заполнены. Даже Chrome и IE8 могут быть использованы кем-то, кто знает как.

3. Скажите, это возможно, у вас есть пример возможной XSS-атаки в одном из этих браузеров?

Ответ №2:

Да, браузеры улучшили выделение средств для защиты от XSS-атак. Но, пожалуйста, НИКОГДА не вводите данные пользователем. Например, тактика атаки XSS, которая все еще работает.

— Экранирование HTML-тегов.

[пример] У вас есть веб-сайт поисковой системы с профилем, чтобы другие люди могли видеть ваши сохраненные запросы. [/example]

Когда у ваших пользователей есть возможность сохранять результаты поиска и делиться ими с другими пользователями, и пользователь сохраняет этот результат: " /> <iframe src=[malware]></iframe> the " /> отключает тег и позволяет вводить код хакеров после него. Позволяет красть сеансы, вставлять изображения или перенаправлять пользователя на другой веб-сайт.

Это всего лишь небольшой пример, который все еще работает, есть еще много других. Попробуйте сами!

Дополнительная информация: http://heideri.ch/jso/#html

Ответ №3:

Злоумышленники не исчезли.

В основных браузерах закрыто множество лазеек XSS, но по-прежнему существует множество способов, которыми люди могут воспользоваться вами.

Единственное, что изменилось, это то, что разработчику стало проще защищаться от XSS, поскольку есть меньше вещей, которые нужно блокировать / отслеживать.

Комментарии:

1. Но сейчас я говорю о двух браузерах. У вас есть пример XSS-атак в этих браузерах?

2. @Kevin вот большой список уязвимостей , попробуйте их все на своем веб-сайте в IE8 и chrome

3. Не тестировал их все, но я уверен, что все они будут заблокированы;)

4. @Kevin Я не настолько доверяю IE8 🙂 Я уверен, что есть лазейки

5. @Kevin нет, это скорее предположение с вашей стороны, что IE8 действительно блокирует все XSS, потому что (я полагаю) вы это где-то прочитали или что-то в этом роде.