On Tue, 16 Jul 2002 09:07 +0300, Silviu Marin-Caea wrote: > Ce inseamna $subj., de fapt?
Cross site scripting exploit inseamna ca un vizitator rau intentionat introduce pe un sit (forum, guestbook etc.) date ce contin bucati de cod javascript/html. Daca situl nu filtreaza corect asemenea date in scopul eliminarii codului, atunci vizitatorii paginilor care afiseaza asemenea date vor fi afectati. Exemplu: ma duc pe un sit si introduc un mesaj intr-un forum. Mesajul contine cod javascript care, la rulare, schimba locatia paginii spre situl meu. Cei care, pe situl initial, intra sa citeasca mesajul din forum vor fi redirectati spre situl meu. Interactiunea vizitatorilor unui sit nu mai e controlata doar de creatorii sitului ci poate fi modificata in mod rauvoitor de oricine. Asa cum nimeni nu are dreptul sa modifice fara acordul creatorului paginile/scripturile de pe discul unui server web, nimeni, in afara autorilor, nu ar trebui sa aiba dreptul sa modifice prin cross site scripting exploits modul in care vizitatorii interactioneaza cu situl. Vezi CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests http://www.cert.org/advisories/CA-2000-02.html -- Radu Greab --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
