Visualizzazione risultati 1 fino 11 di 11

Discussione: Xss

  1. #1
    Guest

    Predefinito Xss

    Un utente su un'altro forum ha trovato la seguente xss:
    http://st2.altervista.org/split.php?javascript:alert("non va bene")
    Se si clicca sul link 'la risorsa è accessibile qui' si noterà la xss.

  2. #2
    Guest

    Predefinito

    Quindi?


    Ciao!

  3. #3
    Guest

    Predefinito

    Beh, l'xss serve per sottrarre i cookie al massimo, ma non credo che sia possibile in questo caso.
    Giudizio: innocuo.

  4. #4
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    Il contesto in cui si manifesta non comporta rischi per la sicurezza di chi usa i servizi derivanti da sottrazione di cookies in quanto non si tratta di un dominio dove vengano istanziate sessioni utente.

    ll problema comunque è stato risolto, segnalazione comunque molto utile.
    Gianluca

  5. #5
    Guest

    Predefinito

    Peccato e io che mi stavo divertendo a far comparire alert :(

  6. #6
    Guest

    Predefinito

    Si mi ero reso conto che l'xss era innocua, ma sempre meglio fixare

  7. #7
    L'avatar di AlexKidd
    AlexKidd non è connesso Altervistiano Junior
    Data registrazione
    09-02-2007
    Messaggi
    516

    Predefinito

    domanda da inesperto di javascript:

    ma modificando 'document.domain', per permettere l'accesso a tutti i sottodominii *.altervista.org, non si riesce a sfruttare la vulnerabilità?

  8. #8
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    Non è possibile in quanto l'accesso ai cookies è comunque riservato ai soli cookies istanziati sul dominio corrente ed eventuali sottodomini.

    L'alterazione del document.domain, per ragioni di sicurezza importanti, ha dei limiti molto rigidi: http://www.devguru.com/Technologies/...oc_domain.html
    Gianluca

  9. #9
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,746

    Predefinito

    [OT]
    Scusa, Gianluca, ma tutte queste cose le sai di tuo, o prima ti confronti con i tecnici di AV (quelli che l'hanno programmata, se non l'hai fatto tu)
    {non solo in questa discussione, ma in generale}
    [/OT]

    Mi spiace che sono OT, ma non si possono inviare un MP a Gianluca .
    Se volete, potete cancellare


    Ciao!

  10. #10
    L'avatar di dapeco
    dapeco non è connesso Community Manager
    Data registrazione
    21-10-2003
    Residenza
    Brusasco (To)
    Messaggi
    4,909

    Predefinito

    Citazione Originalmente inviato da alemoppo Visualizza messaggio
    [OT]
    Scusa, Gianluca, ma tutte queste cose le sai di tuo, o prima ti confronti con i tecnici di AV (quelli che l'hanno programmata, se non l'hai fatto tu)
    {non solo in questa discussione, ma in generale}
    [/OT]
    Tutto il team che sta dietro ad AV. Soprattutto in casi critici è importante avere più punti di vista e know-how a disposizione.
    Ho visto cose che voi utenti non potreste immaginare... siti da combattimento irregolari al largo dei bastioni di Orione. E ho visto account balenare nel buio vicino alle porte di Tannhauser. E tutti quei momenti andranno perduti nel tempo come lacrime nella pioggia. È tempo di sospendere...

    ASD Brusasco - C'è altro sport oltre al calcio!

    "Io sono vivo, voi siete morti" (Philip Dick, Ubik)

  11. #11
    Guest

    Predefinito

    Citazione Originalmente inviato da alemoppo Visualizza messaggio
    [OT]
    Scusa, Gianluca, ma tutte queste cose le sai di tuo, o prima ti confronti con i tecnici di AV (quelli che l'hanno programmata, se non l'hai fatto tu)
    {non solo in questa discussione, ma in generale}
    [/OT]

    Mi spiace che sono OT, ma non si possono inviare un MP a Gianluca .
    Se volete, potete cancellare


    Ciao!

    Guarda che AV non è solo forum, comunque la discussione penso si sia esaurita.

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •