Jak je u mě zvykem, budu se i tentokrát věnovat zranitelnosti XSS. Tentokrát popíši chybu, pomocí níž bylo do současné doby možné získat přístupové údaje k uživatelským účtům na Seznam.cz. Vzhledem k tomu, že se jedná o „pouhé“ XSS, bych si tento článek mohl zcela jistě odpustit. Nebudu se v něm ovšem ani tak věnovat samotné XSS zranitelnosti, jako spíše zneužívání persistentních XSS, které se projevují pouze po přihlášení pod naším vlastním účtem. Seznam.cz mi tak poslouží jen pro konkrétní demonstraci útoku. Uvedené postupy je nicméně možné aplikovat i u jakýchkoliv jiných webových aplikací, které obsahují podobně zranitelné místo. |