XSS - cross site scripting, זה מונח שמתייחס במיוחד לגניבת מידע באמצעות העברתו מדומיין אחד לשני.
בעצם מספיק שקוד של javascript מבחוץ (מושתל בתגובה לחדשות או בהודעה בפורום/בלוג) יגיע לידי ה cookie (ובהנחה שהאתר משתמש באחד כזה) כדי שהאתר יהיה פרוץ ונוכל לקבל מידע על משתמשים.
את הקוד הזדוני בתוך לינק ה javascript נוכל להסתיר אפילו עם הצפנה או כל דבר אחר ולשלוח אותו בצורת GET או אפילו POST (למי שיודע איך עושים את זה ב AJAX).
בכל מקרה הנה הסבר משכנע למדי ומאד פשוט:
http://www.steve.org.uk/Hacks/XSS/index.html
ולמידע יותר מורחב אפשר לקרוא כאן:
http://www.cgisecurity.com/xss-faq.html
נראה לי בבלוג הזה חוסמים את כל הסימנים של javascript וזה נראה שמבחינה זאת הוא יחסית חסין. אבל בואו ננסה:
לחץ עלי אני לינק תמים
בעצם מספיק שקוד של javascript מבחוץ (מושתל בתגובה לחדשות או בהודעה בפורום/בלוג) יגיע לידי ה cookie (ובהנחה שהאתר משתמש באחד כזה) כדי שהאתר יהיה פרוץ ונוכל לקבל מידע על משתמשים.
את הקוד הזדוני בתוך לינק ה javascript נוכל להסתיר אפילו עם הצפנה או כל דבר אחר ולשלוח אותו בצורת GET או אפילו POST (למי שיודע איך עושים את זה ב AJAX).
בכל מקרה הנה הסבר משכנע למדי ומאד פשוט:
http://www.steve.org.uk/Hacks/XSS/index.html
ולמידע יותר מורחב אפשר לקרוא כאן:
http://www.cgisecurity.com/xss-faq.html
נראה לי בבלוג הזה חוסמים את כל הסימנים של javascript וזה נראה שמבחינה זאת הוא יחסית חסין. אבל בואו ננסה:
לחץ עלי אני לינק תמים