LinkBack URL
About LinkBacksUn utente su un'altro forum ha trovato la seguente xss:
http://st2.altervista.org/split.php?javascript:alert("non va bene")
Se si clicca sul link 'la risorsa è accessibile qui' si noterà la xss.
Visualizzazione risultati 1 fino 11 di 11
Discussione: Xss
-
19-06-2009, 12.43.54 #1Guest
Xss
-
19-06-2009, 12.53.02 #2Guest
Quindi?
Ciao!
-
19-06-2009, 12.59.09 #3Guest
Beh, l'xss serve per sottrarre i cookie al massimo, ma non credo che sia possibile in questo caso.
Giudizio: innocuo.
-
19-06-2009, 13.22.41 #4
Amministratore
- Data registrazione
- 15-02-2001
- Messaggi
- 18,035
Il contesto in cui si manifesta non comporta rischi per la sicurezza di chi usa i servizi derivanti da sottrazione di cookies in quanto non si tratta di un dominio dove vengano istanziate sessioni utente.
ll problema comunque è stato risolto, segnalazione comunque molto utile.Gianluca
-
19-06-2009, 13.36.53 #5Guest
Peccato e io che mi stavo divertendo a far comparire alert :(
-
19-06-2009, 13.51.39 #6Guest
Si mi ero reso conto che l'xss era innocua, ma sempre meglio fixare
-
19-06-2009, 15.29.52 #7
Altervistiano Junior
- Data registrazione
- 09-02-2007
- Messaggi
- 516
domanda da inesperto di javascript:
ma modificando 'document.domain', per permettere l'accesso a tutti i sottodominii *.altervista.org, non si riesce a sfruttare la vulnerabilità?
-
19-06-2009, 16.54.25 #8
Amministratore
- Data registrazione
- 15-02-2001
- Messaggi
- 18,035
Non è possibile in quanto l'accesso ai cookies è comunque riservato ai soli cookies istanziati sul dominio corrente ed eventuali sottodomini.
L'alterazione del document.domain, per ragioni di sicurezza importanti, ha dei limiti molto rigidi: http://www.devguru.com/Technologies/...oc_domain.htmlGianluca
-
19-06-2009, 17.00.32 #9
Staff AV
- Data registrazione
- 24-08-2008
- Residenza
- PU / BO
- Messaggi
- 22,672
[OT]
Scusa, Gianluca, ma tutte queste cose le sai di tuo, o prima ti confronti con i tecnici di AV (quelli che l'hanno programmata, se non l'hai fatto tu
)
{non solo in questa discussione, ma in generale}
[/OT]
Mi spiace che sono OT, ma non si possono inviare un MP a Gianluca
.
Se volete, potete cancellare
Ciao!regolamento altervista_______________ regolamento forum
-
19-06-2009, 17.19.04 #10
Community Manager
- Data registrazione
- 21-10-2003
- Residenza
- Brusasco (To)
- Messaggi
- 4,909
Tutto il team che sta dietro ad AV. Soprattutto in casi critici è importante avere più punti di vista e know-how a disposizione.
Originalmente inviato da alemoppo
[OT]
Scusa, Gianluca, ma tutte queste cose le sai di tuo, o prima ti confronti con i tecnici di AV (quelli che l'hanno programmata, se non l'hai fatto tu)
{non solo in questa discussione, ma in generale}
[/OT]Ho visto cose che voi utenti non potreste immaginare... siti da combattimento irregolari al largo dei bastioni di Orione. E ho visto account balenare nel buio vicino alle porte di Tannhauser. E tutti quei momenti andranno perduti nel tempo come lacrime nella pioggia. È tempo di sospendere...
ASD Brusasco - C'è altro sport oltre al calcio!
"Io sono vivo, voi siete morti" (Philip Dick, Ubik)
-
19-06-2009, 18.04.41 #11Guest
Originalmente inviato da alemoppo
[OT]
Scusa, Gianluca, ma tutte queste cose le sai di tuo, o prima ti confronti con i tecnici di AV (quelli che l'hanno programmata, se non l'hai fatto tu)
{non solo in questa discussione, ma in generale}
[/OT]
Mi spiace che sono OT, ma non si possono inviare un MP a Gianluca.
Se volete, potete cancellare
Ciao!
Guarda che AV non è solo forum, comunque la discussione penso si sia esaurita.
