Věci Veřejné - Zabezpečení serveru
BugTrack
| Věci Veřejné - Zabezpečení serveru | # |
| Full Path Disclosure: [link] (soubor test.php v rootu webu)
Screenshot: [link]
XSS ve vyhledavani;
Zapnuty Error Reporting na produkcnim serveru (na screenshotu lze videt chybovou hlasku SQL serveru): [link]
(odpovědět) | Emkei |  |  |  | 10.7.2010 3:39 |
|
|
|
| re: Věci Veřejné - Zabezpečení serveru | # |
| ad XSS:
Vysledavani sice neosetruje " a >, avsak maze veskere vlozene tagy. Prisel jsi i na zpusob jak tam vyvolat treba klasicky alert?
(odpovědět) | | Marek Vesely | 212.80.69.* | 17.7.2010 21:10 |
|
|
|
| re: Věci Veřejné - Zabezpečení serveru | # |
| melo by byt mozne pouzit techniku XSS through CSS, osobne bych to ale zneuzil nasledovne [link] a zakamufloval pomoci techniky clickjackingu, proti ktere neni rovnez stranka chranena (neviditelne pres celou obrazovku). nenapadne a zaroven ucinne...
(odpovědět) | | Emkei | | | | 17.7.2010 22:17 |
|
|
|
| re: Věci Veřejné - Zabezpečení serveru | # |
| Wow, pekne, ja si s tim hral dost dlouho, ale toto me nenapadlo:)
Mohl bys sem prosim rovnou jeste hodit jak tam udelat tu variantu XSS through CSS a pripadne i ten clickjacking, myslim ze nejen ja se z toho rad poucim.
(odpovědět) | | Marek Vesely | 212.80.69.* | 18.7.2010 1:00 |
|
|
|
| re: Věci Veřejné - Zabezpečení serveru | # |
| o praktikach XSS za pomoci kaskadovych stylu je informaci pomerne dost, takze to si urcite dokazes vygooglit vcetne nazornych prikladu sam.
kamuflaz z dilny clickjackingu by prakticky mohla vypadat nejak nasledovne: [link]
(odpovědět) | | Emkei | | | | 18.7.2010 23:01 |
|
|
|
| re: Věci Veřejné - Zabezpečení serveru | # |
| Proc je to ale pak CLICKjakcing, kdyz tam nikde kliknout nemusim?:)
(odpovědět) | | Marek Vesely | 212.80.69.* | 19.7.2010 9:16 |
|
|
|
| re: Věci Veřejné - Zabezpečení serveru | # |
| to neni clickjacking, ta kamuflaz (prekryti oken) je ale technika pouzivana pri clickjackingu...
(odpovědět) | | Emkei | | | | 19.7.2010 10:08 |
|
|
|
| re: Věci Veřejné - Zabezpečení serveru | # |
| Jinak ohledne XSS over CSS nemohu nic moc najit, nemuzes prosim uvest priklad?
(odpovědět) | | Marek Vesely | 212.80.69.* | 19.7.2010 16:43 |
|
|
|
| re: Věci Veřejné - Zabezpečení serveru | # |
| "Jinak ohledne XSS over CSS nemohu nic moc najit"???
Vždyť hned první odkaz je více než dostačující: [link]
(odpovědět) | | Duck | 85.71.165.* | 20.7.2010 11:34 |
|
|
|
| re: Věci Veřejné - Zabezpečení serveru | # |
| +1
(odpovědět) | | Frix | 88.101.80.* | 18.7.2010 11:38 |
|
|
|
