|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : 3APA3A 2:5020/400 06 May 2003 19:21:23
To : ЋбЄ аЎЁвҐ«м Џ®¤ЇЁйЁЄ®ў
Subject : Re: SQL запрос из под PHP
--------------------------------------------------------------------------------
Hello, Оскарбитель!
You wrote to Oleg Bezuglov on Tue, 6 May 2003 04:18:44 +0000 (UTC):
ОП> Это еще что.... Буквально неделю назад меня другой программер
ОП> убеждал, что cross site scripting'а в реальности не существует, все
ОП> это - вымыслы теоретиков :-)) Или по крайней мере что только полный
ОП> идиот не фильтрует ввод на предмет html-тегов.
для межсайтового скритинга вообще не обязательны HTML-теги.
ОП> Hint: у ЗАРАЗЫ на сайте его находили. Он - идиот? :-)
То, что у меня находили, это скорее проблема старого нетскейпа (4.7), чем
межсайтовый скриптинг (там есть куча классных фич, типа src="&alert()" или
src="mocha:alert()"... Hикто ж не виноват, что у нетскейп свои стандарты.
А межсайтовый скриптинг там тоже был (причем довольно тривиальный)....
Только его не нашли :)) Hа самам деле там и сейчас в форуме есть возможность
межсайтового скриптинга. Только _очень_ нетривиальная....
P.S. если кто-то ринется тестировать - делайте это сами себе приватом, pls,
а то я потом чистить задолбаюсь....
/3APA3A
http://www.security.nnov.ru
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
