Quando tento di consultare i commenti degli utenti del gioco Axel & Pixel mi appare questo messaggio :Sito vulnerabile a xss ,appare solo li cos'e' 
strano messaggio
Moderatore: Membri Staff
5 messaggi
• Pagina 1 di 1
Re: strano messaggio
da Overmann il venerdì 11 novembre 2011, 23:41
Oddio, faccio mea culpa, è una cosa dovuta al mio commento e ad alcune questioni che avevo sollevato qui.
In pratica nei commenti è possibile inserire codice HTML, che può essere usato per aggiungere il grassetto o correggere le accentate a mano
il problema è che può essere usato anche per fare cose brutte-brutte, soprattutto se si dà la possibilità di inserire script in javascript come questo:
Che avevo messo nel mio commento ad Axel & Pixel per testare se effettivamente gli input venivano passati tutti o qualcosa veniva filtrato. Evidentemente ai tempi, per qualche motivo, il popup non mi era uscito e avevo concluso che il tag script era filtrato, così ho accantonato il problema e lasciato il codice nel commento.
Non so se sia successo qualcosa quando poi hanno corretto il problema delle accentate o se effettivamente la vulnerabilità c'è sempre stata e per caso in quel test mi era sfuggita.
Comunque sarebbe un'ottima cosa validare gli input
(P.S.: XSS sta per Cross-Site Scripting)
In pratica nei commenti è possibile inserire codice HTML, che può essere usato per aggiungere il grassetto o correggere le accentate a mano
il problema è che può essere usato anche per fare cose brutte-brutte, soprattutto se si dà la possibilità di inserire script in javascript come questo:- Codice: Seleziona tutto
<script type="text/javascript">alert('Sito vulnerabile a XSS')</script>
Che avevo messo nel mio commento ad Axel & Pixel per testare se effettivamente gli input venivano passati tutti o qualcosa veniva filtrato. Evidentemente ai tempi, per qualche motivo, il popup non mi era uscito e avevo concluso che il tag script era filtrato, così ho accantonato il problema e lasciato il codice nel commento.
Non so se sia successo qualcosa quando poi hanno corretto il problema delle accentate o se effettivamente la vulnerabilità c'è sempre stata e per caso in quel test mi era sfuggita.
Comunque sarebbe un'ottima cosa validare gli input
(P.S.: XSS sta per Cross-Site Scripting)
-
Overmann
- Schattenjager
- Messaggi: 2224
- Iscritto il: mercoledì 1 agosto 2007, 14:12
- Località: Eridani Epsilon B
Re: strano messaggio
da luise il sabato 12 novembre 2011, 21:16
Scusa la mia ignoranza , mi sembra di capire che quella pagina e sicura ,giusto perche' dopo il messaggio che ho scritto sopra dovrei cliccare su ok ,cosa che non ho fatto.Nelle altre pagine infatti non succede .Comunque grazie per la risposta 
perche' dopo il messaggio che ho scritto sopra dovrei cliccare su ok ,cosa che non ho fatto.Nelle altre pagine infatti non succede .Comunque grazie per la risposta 
-
luise
- Schattenjager
- Messaggi: 4228
- Iscritto il: mercoledì 7 gennaio 2009, 21:54
Re: strano messaggio
da Overmann il sabato 12 novembre 2011, 23:59
Ora come ora è sicura, anche se cliccavi okay non succedeva nulla, però con lo stesso principio si possono fare cose decisamente più elaborate semplicemente inserendo un commento sul sito (ma per fortuna mi pare sia una funzione limitata agli utenti iscritti, il che permetterebbe, se non altro, di tracciare il malfattore 
)
)-
Overmann
- Schattenjager
- Messaggi: 2224
- Iscritto il: mercoledì 1 agosto 2007, 14:12
- Località: Eridani Epsilon B
5 messaggi
• Pagina 1 di 1
Chi c’è in linea
Visitano il forum: Nessuno e 6 ospiti