Nový seriál, jehož první díl máte právě před sebou, se bude věnovat konkrétním útočným kódům napsaným v JavaScriptu. Ty najdou využití hlavně při útocích XSS. Možné je ale také jejich vložení do obsahu vlastních WWW stránek, kde mohou o návštívnících podat podrobné informace, mohou využít skrytí za jejich identitu, nebo jen využijí jejich výpočetní výkon.
Samotné skripty nebudou často mým vlastním výtvorem. Vždy ale odkážu na zdroj, ze kterého jsem čerpal, a kde případní zájemci mohou nalézt detailnější informace.
V tomto úvodním dílu se podíváme na způsob, kterým je možné zjistit, zda uživatel navštívil v minulosti konkrétní webové stránky. Kód pochází z knihy XSS Attacks: Cross Site Scripting Exploits and Defense autorů Setha Fogieho, Jeremiaha Grossmana a kol.
Samotný kód je založen na skutečnosti, že webový prohlížeč může obarvovat navštívené a nenavštívené odkazy různou barvou. Když tedy vytvoříme seznam linků, které volžíme na webovou stránku, můžeme podle jejich obarvení zjistit, zda byl daný link v minulosti navštíven nebo ne. Uvedený kód je funkční v prohlížečích Firefox / Mozilla.
Navštívené
Činnost skriptu demonstruje následující rám:
Pokud se nechcete stát obětí podobného útoku, je vhodné pravidelně promazávat historii navštívených stránek. To je možné provést jednak manuálně, ale také automaticky při každém vypnutí webového prohlížeče.