aspetta....questo l'ho letto..non mi ric + cos'è....mi dai una delucidazione?Originariamente inviato da Habanero
questo non è SQL injection ma Cross Site Scripting (XSS).
aspetta....questo l'ho letto..non mi ric + cos'è....mi dai una delucidazione?Originariamente inviato da Habanero
questo non è SQL injection ma Cross Site Scripting (XSS).
è quello che ti ho detto....
hai un guestbook... un utente scive un messaggio fatto così:
<script>alert("Ciao!")</script>
e lo spedisce. Se il guestbook non filtra i caratteri <> qualsiasi utente che voglia visualizzare la pagina dei messaggi si troverà un MessageBox che dice "Ciao!" questo perchè il testo inserito dall'utente viene interpretato direttamente com html/javascript.
Ovviamente l'esempio è fastidioso ma non pericoloso... con javascript più sofisticati si possono fare parecchi danni... si puo' iniettare un iframe sorgente esterno che punta ad una pagina che ti fa scaricare roba dannosa... si possono rubare i cookie dell'utente relativi al sito etc...
Leggiti questo:
http://sicurezza.html.it/articoli/le...e-scripting/3/
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Permessi di invio
Rispondi quotando