Exploit Me – SQL Injection Me a XSS Me
Dva zajímavé pluginy pro prohlížeč Firefox, pomocí nichž můžete snadno otestovat zabezpečení svého webu pro útok typu SQL injection a náchylnost na XSS.
Dva zajímavé pluginy pro prohlížeč Firefox, pomocí nichž můžete snadno otestovat zabezpečení svého webu pro útok typu SQL injection a náchylnost na XSS.
Související články
Ci uz hladate na internete materialy na tvorbu webovych stranok, alebo si len tak, raz za cas pozriete nejaky ten bezpecnostny portal, urcite ste sa stretli so slovami ako XSS alebo script injection. V tomto clanku sa na tuto problematiku pozrieme blizsie a predvedieme niektore chyby, ktorym by ste sa urcite mali vyvarovat.
Co to teda script injection je?
Ako uz nazov hovori, jedna sa o metodu vlozenia (napr. skodliveho) kodu, do webovej aplikacie, prostrednictvom nejakej bezpecnostnej diery v danej aplikacii. Netreba zabudat, ze pri pokuse o utok na webovu aplikaciu, su kozmeticke doplnky typu JavaScript absolutne neucinne.
čítať viac
6. března 07, 10:03
luzer.sk - Security
Podle PC World došlo k útoku ve středu a hacker podepisující se jako "rEmOtEr" vložil na stránku obrázek malého dítěte mávajícího saudskoarabskou vlajkou. Snímek hacku naleznete na www.zone-h.org/content/view/14780/31/.
2. červenece 07, 12:07
Blog.lupa.cz
Desítky tisíc hacknutých serverů po celém světě, včetně stále dokola se opakujících úspěšných průniků. Hromadné útoky na počítače návštěvníků důvěryhodných obsahových webů včetně českých. Za to všechno může maličkost jménem SQL injection.
10. června 08, 07:06
Lupa.cz
Len sa nechajte inšpirova?:)
20. května 08, 08:05
SOOM.cz
Exploit na šest měsíců známou XSS zranitelnost ve webmailu Volny.cz.
12. října 07, 12:10
SOOM.cz
V t?chto dnech probíhá hlasování v anket? K?iš?álová lupa, kde je jednou z kategorií i nejlepší webmail. Tento ?lánek by Vám mohl pomoci ve vašem rozhodování...
16. října 08, 09:10
SOOM.cz
Jak je to se soukromím na webu? Jsou uživatelé chráněni nebo mají jen falešný pocit bezpečí? Dnešní článek je o chybě, která se dostala do webových specifikací, dodnes v nich setrvává a nejspíš tam zůstane nadobro. Webové prohlížeče, které se jimi řídí, tak vystavují část uživatelova soukromí na veřejnost.
16. června 08, 12:06
Root.cz
Jak je to se soukromím na webu? Jsou uživatelé chráněni nebo mají jen falešný pocit bezpečí? Dnešní článek CSS exploit a neexistující soukromí na webu na Root.cz je o chybě, která se dostala do...
16. června 08, 02:06
Lupa.cz
Pouhý letmý pohled na ChangeLog nového linuxového jádra 2.6.24.1 musí správce linuxových serverů zneklidnit. Hned v úvodu je zmíněno CVE-2008-0009/10. CVE (Common Vulnerabilities and Exposures) pokaždé představuje bezpečnostní problém. Obvykle pouze minimální, teď je to ale mnohem horší. Na stránkách SecurityFocus lze vedle
10. února 08, 06:02
abclinuxu - blogy
Společnost Digital Armaments prohlásila, že věnuje 5000 USD jako odměnu za každou vážnou zranitelnost nebo lokální exploit linuxového jádra. Vánoce se blíží, nevěříte-li Ježíškovi, vytvořte a odešlete do konce listopadu nějaký ten exploitík. :-)
14. listopadu 08, 09:11
abclinuxu - blogy
Tvorba specifikací je odpovědná věc. Jednou vytvořené specifikace budou platit roky a s každou chybou, která se do nich dostane, se můžou potýkat celé generace.Chyby se do specifikací skutečně dostávají a často jsou neškodné, že si jich všimnou jen vývojáři prohlížečů, ale běžný webdesigner si s nimi hlavu neláme.Jen opravdu výjimečně se objeví chyba, která má dopad až na koncového uživatele. Toho, který sedí v teple u svého prohlížeče, pohodlně si kliká a o zkratkách CSS nebo HTML nemá ani potuchy.Největší chyba webových specifikacíMluvím teď o chybě všech chyb, o tzv. CSS exploitu. Popravdě si myslím, že se jedná o historicky největší chybu, která se kdy do webových specifikací dostala. A přitom základní myšlenka vypadá zcela nevině, citujme z původní specifikace CSS1, odstavec 2.1: User agents commonly display newly visited anchors differently from older ones. In CSS1, this is handled through pseudo-classes on the "A" element:A:link { color: red } /* unvisited link */A:visited { color: blue } /* visited links */Myslíte, že zavedení pseudotříd link a visited nemůže mít pro uživatele neblahé následky? Pokud ano, tak se šeredně mýlíte. Stejně tak se zmýlili i tvůrci CSS1. I když těžko jim to mít za zlé, v letech 1994-1996, kdy kaskádové styly přicházely na svět, ještě Web nebyl plný bezpečnostních problémů, a jak by taky mohl být, když samotný JavaScript byl teprv v plenkách (objevil se koncem roku 1995).Dnes mi o CSS exploitu vyšel článek, pokud jste o CSS exploitu dosud neslyšely a pokud si myslíte, že na Webu existuje soukromí, doporučuji si ho přečíst:Pokud si myslíte, že stránka, kterou právě čtete, o vás nemůže nic zjistit, tak se mýlíte. S jistou pravděpodobností by pomocí tzv. CSS exploitu dokázala odhadnout, jaké vyhledávače používáte, které e-shopy navštěvujete (včetně kategorií, které vás zajímají), zda používáte internetové bankovnictví nebo PayPal, jestli nenavštěvujete politicky nekorektní stránky a mnohem víc.Více se dočtete v článku CSS exploit a neexistující soukromí na webu.
16. června 08, 08:06
HTML 4 5 6...
Česká společnost Grisoft stojící za vývojem legendárního antivirového programu AVG do konce tohoto roku koupí americkou firmu Exploit Prevention Labs, která nabízí produkty určené k ochraně před nebezpečnými webovými stránkami.
5. prosince 07, 03:12
Živě.cz
Nový Drupal 5.8 a Drupal 6.3 jsou na světě a není to jen tak pro nic za nic. Tato nová verze Drupalu opravuje hned několik chyb. Nejvyznamější z nich jsou podle mého uvážení SQL Injection a XSS(Cross site scripting). Ovšem stejný problém jako při minulé aktualizaci(z 6.1 na 6.2)...
číst dál
16. červenece 08, 12:07
shaimagal.org
