даже если там не Javascript

Sergey M. 11.03.2006 14:37

есть еще как минимум два нехороших момента:

вставив на ваш сайт картинку с внешнего (своего) ресурса, посетитель ставит такую страницу "на счетчик" ("на сниффер" если угодно) - теперь он знает кто, чем, когда и откуда туда заходил, он может, например, синхронизировать эту информацию с временем комментариев, etc. Плюс если вы передаете идентификатор сессии в строке адреса, ему это все приходит как реферер, и при определенных обстоятельствах (отсутствие таймаута, нет привязки к IP) он сможет украсть чужую сессию и нагадить, или еще чего сотворить.

Или есть вариант еще прикольнее - применялся, если не ошибаюсь, в том-же phpBB. Суть в том что можно было поставить себе аватаром картинку с внешнего сервера. Вместо картинки ставился простейший скрипт, делающий внешний редирект на определенный адрес форума, с параметрами, необходимыми для поднятия привилегий пользователя до администраторских. Разумеется, "чудо-адрес" редиректа срабатывал только в контексте привилегий администратора. И когда ничего не подозревающий админ заходил на страницу с таким "аватаром", он сам того не подозревая... ну дальше все понятно.

вобщем, прежде чем разрешать безобразие с внешними картинками, стоит хорошо подумать.

Антиспам - антискрипт, TLoD,Snake 10.03.2006 16:58
- растолкуйте дураку, где тут собака-то?, Александр Петросян (PAF) [M] 11.03.2006 23:26 / 11.03.2006 23:28
- даже если там не Javascript, Sergey M. 11.03.2006 14:37
  - С внешним редиректом можно подробней?, TLoD,Snake 12.03.2006 20:06
    - есть статья про это дело, Sergey M. 12.03.2006 21:08
      - класс! всем рекомендую пойти и почитать, Александр Петросян (PAF) [M] 14.03.2006 22:46
        проверка форума, R. Averkov [M] 15.03.2006 08:42 / 15.03.2006 08:42
- Ответ, pa1n 10.03.2006 17:21
  - Очень "мудро", Sanja v.2 [M] 10.03.2006 17:48 / 10.03.2006 17:50
    - попробовал - работает. ахренеть..., Misha v.3 [M] 13.03.2006 21:46
      - отбой, ни фига не передается :), Misha v.3 [M] 14.03.2006 14:35
      - пришел спам, Denis Arkhipov 14.03.2006 13:39
        это-то тут причем? спамили всегда. (-), Misha v.3 [M] 14.03.2006 13:46
      - Пора в путь-дорогу..., AleXp 13.03.2006 23:23 / 13.03.2006 23:24
      - А вот другой тип:, Sanja v.2 [M] 13.03.2006 22:49 / 13.03.2006 22:52
      - http://en.wikipedia.org/wiki/XSS#Type_2 (-), Sanja v.2 [M] 13.03.2006 22:33
    - Большое спасибо за открытие глаз (-), R. Averkov [M] 11.03.2006 03:09
    - Ответ, pa1n 10.03.2006 19:10
- Ответ, Sanja v.2 [M] 10.03.2006 17:10
  - Как бы это пользователям объяснить, TLoD,Snake 10.03.2006 22:15
    - из мира HTML, TLoD,Snake 10.03.2006 23:42
      - Загляните в спецификацию HTML, G_Z [M] 11.03.2006 00:27
        Может как еще извернуться?, TLoD,Snake 11.03.2006 14:02
    - тогда придумавайте другие объяснения:, Misha v.3 [M] 10.03.2006 23:24
- ^try{^image::measure[]}{Вася хакер}, R. Averkov [M] 10.03.2006 17:07 / 10.03.2006 17:07
  - Ответ, TLoD,Snake 10.03.2006 22:13

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум