Sunt arătate rezultatele de la 1 la 1 din 1

Subiect: Vă prezint câteva metode simple cum vă puteți apăra împotriva XSS.

  1. #1
    Fermier
    Data înregistrării
    28.02.2011
    Mesaje
    19

    Implicit Vă prezint câteva metode simple cum vă puteți apăra împotriva XSS.

    Un admin, il rog sa mute postul in rubrica indicata.


    Aprob și încurajez preluarea și/sau modificarea acestui articol chiar și fără a se preciza autorul (Monstru) atâta timp cât informația nu suferă modificări drastice ce duc la concluzii și sfaturi eronate.

    Vă prezint câteva metode simple cum vă puteți apăra împotriva XSS. Există mai multe moduri de a afla parola unui jucător, astăzi am să prezint XSS (Cross-site scripting) Din motive lesne de înțeles nu voi arăta cum se procedează, în schimb am să vă arăt cum să vă protejați, veți remarca faptul că puteți rămâne foarte ușor fără parole. Nu am să intru foarte mult în specificații tehnice.

    Ce este Cross Site Scripting?
    Cross site scripting (XSS) apare atunci când o aplicație Web malițioase adună date de la un utilizator. Datele sunt colectate de obicei sub forma unui hyperlink care conține în cadrul acestuia un cod javascript. Utilizatorul va apăsa cel mai probabil pe acest link de pe alt site, se va executa un cod javascript care va colecta cookie-urile.
    Cum funcționează XSS
    Dar ce se poate face cu acel cod javascript, cât de periculos poate fi? Ei bine, se pot face destule. De exemplu, și motivul pentru care XSS e atât de popular, e furtul cookie-urilor. După cum știți, având cookie-urile unei victime logate pe un site, le puteți folosi pentru a fi logat cu contul victimei. Asta se poate face destul de ușor cu un cookie grabber.
    Furtul cookie-urilor
    Deși în principiu cookie-urile sunt trimise doar serverelor care le-au creat, există metode de a le „fură”, adică de a convinge navigatorul să le trimită altor servere.
    Printre altele, scripturile JavaScript sau JScript au de obicei acces la toate cookie-urile stocate de navigator, putând să le trimită oriunde. Aceasta, împreună cu situri care permit utilizatorilor să le modifice paginile scriind conținut HTML duce la situații nedorite.
    De exemplu, cineva care deține domeniul example.com poate scrie pe un alt sit o legătură de forma următoare:
    Când un utilizator apasă pe această legătură, navigatorul înlocuiește document. Cookie cu lista cookie-urilor active pe acel sit, care ajung astfel la serverul example.com, al cărui deținător are acces acum la cookie-urile utilizatorilor sitului pe care a pus legătura.
    Acest gen de atac este imposibil de prevenit de către navigator, pentru că scriptul vine chiar de la serverul care a creat cookie-urile, și totul pare a fi autorizat de acel server. Singura soluție este ca administratorii siturilor care permit utilizatorilor să le modifice conținutul să implementeze metode pentru respingerea acestui gen de scripturi.
    Cookie-urile nu sunt vizibile în programele de pe partea client precum JavaScript dacă au fost trimise cu flag-ul HttpOnly. Din punctul de vedere al serverului, singura diferență față de cazul normal este că în linia set-cookie se adaugă la sfârșit șirul
    Cod:
     `HttpOnly':
    Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=. Example.net; HttpOnly
    Când navigatorul primește un astfel de cookie, el trebuie să îl folosească în mod obișnuit pentru schimburile HTTP următoare, dar să nu îl facă vizibil scripturilor părții client.

    Ce pot face pentru a mă proteja ca un utilizator?
    Nu apăsa butonul o. k ca cel din imagine


    Unu-l dintre cele mai bune moduri de a vă proteja este să opriți Javascript în setările browser-ului. Acest lucru poate preveni furtul cookie.

    Folosiți 2 browsere. Unul cu care vă logați pe conturile importante și altul pentru browsing pe internet. Cel pentru browsing pe internet să fie setat ca default browser (browser implicit) iar cel pentru conturi să fie browser secundar.
    Folosiți add-onsurile următoare:Folosiți un manager de parole lastpass. Folosiți întotdeauna butonul Log Out

    Cel mai important lucru, nu accepta un javascript in browser daca nu stii de unde provine. D-asta este recomandat sa folositi doua browsere, unul implicit si secundar. Primiti un link pe yahoo, skype, msn, se va deschide cu browserul implicit.

    Dacă am mai uitat ceva voi face update la acest articol în timp.


    Multumim pentru informatii. Este un topic foarte util si speram ca utilizatorii forumului sa urmeze instructiunile prezentate pentru a evita evenimente nedorite. Am mutat topicul aici pentru a nu se pierde printre altele deschise in viitor. Daca doresti sa mai adaugi si alte informatii in acest topic sau intr-altul, rog a trimite un pm oricarui moderator ptr editare/fuzionare. Vali_Ro
    Ultima modificare efectuată de Vali_Ro; 28.04.2011 la 10:45:08.

Subiecte asemănătoare

  1. [natari] Trupele cu care se apara natarii.Care sunt?
    Postat de iulius_caesar în forumul Intrebari Travian
    Răspunsuri: 11
    Ultimul mesaj: 15.08.2011, 15:23:16
  2. Răspunsuri: 0
    Ultimul mesaj: 26.04.2011, 20:03:19
  3. Atac impotriva MH - ban?
    Postat de -poWer- în forumul Intrebari regulament
    Răspunsuri: 7
    Ultimul mesaj: 23.08.2010, 17:34:34
  4. Idee impotriva Multiaccounturilor
    Postat de Klaudiu în forumul Idei
    Răspunsuri: 23
    Ultimul mesaj: 04.05.2010, 10:58:21
  5. :: chat :: Comenzi simple pentru Travian Chat
    Postat de Bristena în forumul Forum & Chat
    Răspunsuri: 0
    Ultimul mesaj: 07.03.2009, 14:06:08

Reguli de postare

  • Nu poți posta subiecte noi
  • Nu poți posta răspunsuri
  • Nu poți posta atașamente
  • Nu-ți poți edita mesajele
  •