Jen doplnim, ze drtiva vetsina serveru ma zapnutou fci magic_quotes, tim padem se vsechny uvozovky a apostrofy escapuji a script se stava nefunkcnim. To se obchazi pomoci naseledujicich prikazu
<script>eval(String.fromCharCode(49,50,51,...)</script>
kde cisla reprezentuji zakerny kod v ascii.
Castym elementem zneuzivanym XSS je (vedle ramu) i tag pro odkaz, krome fake-linku se casto vyuziva automatickych odkazu v profilech a forech, kdy mate zadat napr. link na svoji stranku. Utocnik misto URL vyplni neco ve smyslu
javascript:presmerovani_s_kradenymi_cookies (zakodovane)
a uzivateli, ktery nic netusic na dany odkaz klikne, ukradne jeho cookies.
Pokud utocnik najde XSS chybu na nejakem serveru, kde je vyzadovano prihlasovani, neni pro nej problem nahradit pomoci prikazu location.replace celou stranku svoji (layout jako original) a uzivatel pak odesila citliva data primo jemu. Ten je pak sam casto preposle (kopii) na orignalni stranku, aby uzivatel nic nespozoroval.
Omezeni vstupnich poli pomoci direktivy maxlenght rovnez XSS nezabrani, ve vetsine pripadu staci zadat delsi text primo do URL (GET) nebo upravit stranku za pomoci javascript injection (POST) a utocnik muze vkladat libovolne dlouhy text (zakerny kod). |