nova beseda iz Slovenije
angl. reflecting XSS attack), f trajni napad | XSS | (angl. persistent XSS attack). Pri prvem mora | P |
so te vrste. Slika0; Shema odsevnega napada | XSS | Druga vrsta napada XSS je trajni napad XSS | P |
Shema odsevnega napada XSS Druga vrsta napada | XSS | je trajni napad XSS, ki podobno kakor prva vrsta | P |
XSS Druga vrsta napada XSS je trajni napad | XSS, | ki podobno kakor prva vrsta napadov izvede zlonamerno | P |
premenjeno povezavo. Slika1; Shema trajnega napada | XSS | Pri obeh vrstah napadov je aplikacija, ki | P |
računalniku ‐ to vrsto napada imenujemo lokalni napad | XSS | (angl. local XSS attack).Tak napad je tipičen | P |
napada imenujemo lokalni napad XSS (angl. local | XSS | attack).Tak napad je tipičen predvsem za spletne | P |
brskalniku. Slika2; Shema lokalnega napada | XSS | Pri lokalnem napadu XSS strežnik spletnemu | P |
Shema lokalnega napada XSS Pri lokalnem napadu | XSS | strežnik spletnemu brskalniku posreduje le skripto | P |
strani. Zato napad imenujemo tudi »DOM-based | XSS« | .Ob pomoči drevesa DOM aplikacija izvede dinamične | P |
je mogoče najti veliko primerov napadov vrste | XSS, | nekaj demonstracij napadov XSS je mogoče najti | P |
napadov vrste XSS, nekaj demonstracij napadov | XSS | je mogoče najti na spletnih naslovih, podanih | P |
daljavo (Remote Code Execution) Medtem ko napadi | XSS | brskalniku »podtaknejo« zlonamerno programsko | P |
obrazcev (angl. Forms) ‐ podobno kot pri napadih | XSS. | Za tak napad je lahko kriva nepazljiva uporaba | P |
programsko kodo PHP. Slika3; Prikaz primera napada | XSS | (s spletne stran Phishmarkt) Napad ob pomoči | P |
to, da je mogoče piškotke »ukrasti« z napadi | XSS. | Ker pogosto vsebujejo informacije o seji uporabnika | P |
features.safe-mode f The Cross Site Scripting ( | XSS) | FAQ, www.cgisecurity.com/articles/xss-faq.shtml | P |
zaščite tako ali tako ni mogoče doseči. Citat: | XSS | je novodobna prekoračitev medpomnilnika, JavaScript | P |
Okvirček: V naši reviji smo o | XSS | sicer že pisali (Monitor 05/07).Vsekakor pa | P |
Okvirček: Za preizkušanje vrzeli | XSS | lahko uporabimo naslednje spletne strani, ki | P |
zero.webappsecurity.com | XSS | za velike in male Splet je ranljiv. | P |
pa so prestol brezkompromisno zasedli napadi | XSS. | Bodite pripravljeni. | P |
je nesporni zmagovalec Cross-Site Scripting ( | XSS) | .Ta trivialna in minimalistična metoda pomete | P |
minimalistična metoda pomete z vsemi. Naj bo | XSS | ... Izraz »križno izvajanje skriptov« (Cross | P |
Slemko, eden izmed pionirjev pri odkrivanju | XSS | ranljivosti.Osebno priznava, da skovanka terminološk | P |
Hansen, »grey hat« heker, eminenca svetovne | XSS | scene in eden izmed najzaslužnejših (skupaj | P |
Grossmanom in Amit Kleinom) za to, da je napade | XSS | spoznala tudi širša javnost, priznava, da so | P |
evidentiralo enega izmed prvih večjih napadov | XSS | (attrition.org/security/advisory/misc/bwc.99 | P |
je 85,57 % vseh spletnih strani ranljivih za | XSS. | Analizo so izvedli na vzorcu 31.373 naključnih | P |
slovenski spletni prostor je ranljiv z napade | XSS | po dolgem in počez.ISP, finančne ustanove, državne | P |
zaznava vse odkrite (in prijavljene) napade | XSS. | Velika imena in korporacije ne manjkajo. pero | P |
vnosnih parametrov. Povedano nekoliko drugače: | XSS | dejansko ni napad na spletno aplikacijo, temveč | P |
poleg samega iskalnega niza. Čeprav se v napadu | XSS | lahko dejansko uporabi veliko značk, je ena | P |
križnega izvajanja skriptov: DOM-based ali krajevni | XSS | (tip 0); non-persistent/reflected ali odsevni | P |
tip 0); non-persistent/reflected ali odsevni | XSS | (tip 1); persistent/stored ali trajni XSS (tip | P |
odsevni XSS (tip 1); persistent/stored ali trajni | XSS | (tip 2). DOM-based XSS | P |
persistent/stored ali trajni XSS (tip 2). DOM-based | XSS | DOM (Document Object Model) je vmesnik brskalnik | P |
posameznih elementov. Posebnost pri DOM-based | XSS | je, da se celotni napad izvede krajevno v brskalniku | P |
strežnika z ranljivo aplikacijo. Zelo znan DOM-based | XSS | je bil pred časom odkrit v vtičniku PDF (www | P |
//URL/datoteka.pdf#string=javascript:alert(» | XSS« | ).Pomembno vlogo ima znak »#«, ki se pogosto | P |
znak »#«, ki se pogosto pojavlja v DOM-based | XSS | izvedbah. Čeprav napad poteka prek spletnega | P |
prikaz funkcionalnosti DOM Odsevni (reflected) | XSS | ... je daleč najbolj razširjena in uporabljena | P |
script> značko, je idealni prikaz odsevne metode | XSS. | Taki napadi največkrat pridejo v obliki spletne | P |
v obliki spletne povezave (t. i. GET Request | XSS) | , le-ta je seveda ustrezno »maskirana« in tako | P |
Nekoliko redkejši so t. i. napadi POST Request | XSS. | POST in GET sta HTTP zahtevka, s katerima odjemalec | P |
formulirati v obliki spletne povezave. Najosnovnejši | XSS | »vektor« je tako onemogočen.Napadalci se takih | P |
polju brskalnika. Princip delovanja odsevnega | XSS | je v obeh primerih enak.Uporabnik s klikom povezave | P |
SLIKA0-odsevni XSS.png; Tako deluje odsevni napad | XSS. | Trajni (persistent) XSS | P |
deluje odsevni napad XSS. Trajni (persistent) | XSS | Če odsevni XSS velja za najbolj razširjenega | P |
Trajni (persistent) XSS Če odsevni | XSS | velja za najbolj razširjenega, za trajni XSS | P |
XSS velja za najbolj razširjenega, za trajni | XSS | velja, da je najnevarnejši.Od odsevnega križnega | P |
naslednjič obišče ranljivo spletno stran, se | XSS | avtomatično izvede.Za razliko od odsevnega XSS | P |
avtomatično izvede. Za razliko od odsevnega | XSS, | kjer mora uporabnik dejansko klikniti povezavo | P |
uporabnik dejansko klikniti povezavo. Trajni | XSS | se pogosto uporablja v napadih na spletne aplikacije | P |
na spletne aplikacije Web 2.0. SLIKA1-trajni | XSS | .png; Tako deluje trajni napad XSS. XSS vse | P |
SLIKA1-trajni XSS .png; Tako deluje trajni napad | XSS. | XSS vse naokrog ... | P |
trajni XSS .png; Tako deluje trajni napad XSS. | XSS | vse naokrog ... Ročno modificiranje parametrov | P |
svoji kategoriji, saj omogočajo iskanje vrzeli | XSS | z različnimi ubežnimi vektorji (escape vectors | P |
omogoča zgolj iskanje najosnovnejših vektorjev | XSS. | ScreamingCSS je namreč eden izmed prvih avtomatiziran | P |
kaže tudi v samem imenu programa (CSS in ne | XSS) | .V začetku so izvedenci križno izvajanje skriptov | P |
Scrambling System, se je uveljavila označba | XSS. | Watchfire AppScan. | P |
najboljših programov za odkrivanje ranljivosti | XSS. | Za odkrivanje vrzeli XSS pa je na voljo še en | P |
odkrivanje ranljivosti XSS. Za odkrivanje vrzeli | XSS | pa je na voljo še en, zelo preprost, a nadvse | P |
spletno aplikacijo, vstavljamo poljubni vektor | XSS. | Za začetek lahko uporabimo že znani niz <script | P |
javno znanih več kot sto različnih vektorjev | XSS | (www.gnucitizen.org/xssdb/).Zelo malo strani | P |
mozilla.org/en-US/firefox/addon/748/) in skript | XSS | Assistant (www.whiteacid.org/greasemonkey). | P |
skriptov je, da omogoča vstavljanje vektorjev | XSS | v skrita polja.Slika: XSS Assistant.PNG; XSS | P |
vstavljanje vektorjev XSS v skrita polja. Slika: | XSS | Assistant.PNG; XSS Assistant omogoča vstavljanje | P |
v skrita polja. Slika: XSS Assistant.PNG; | XSS | Assistant omogoča vstavljanje vektorjev XSS | P |
XSS Assistant omogoča vstavljanje vektorjev | XSS | v skrita polja. Naj bo nevaren ... | P |
Naj bo nevaren ... Tako, odkrili smo | XSS | ranljivo spletno aplikacijo.Kaj zdaj? | P |
Kaj zdaj? Napadalec lahko uporabi | XSS | za izvajanje štirih različnih oblik napadov | P |
zavrnitev storitve (DoS; Denial of Service) ter | XSS | razobličenje (XSS defacement).Pri ribarjenju | P |
DoS; Denial of Service) ter XSS razobličenje ( | XSS | defacement).Pri ribarjenju napadalec formulira | P |
možnost prekinitve izvajanja skripta. S t. i. | XSS | razobličenjem pa lahko napadalec spremeni prikaz | P |
po predhodnem vdoru v strežnik), pa v primeru | XSS | razobličenj ostanejo podatki v spletnem strežniku | P |
povzroči podtaknjena javascriptna koda, vrzel | XSS | in spletna povezava, ki jo je uporabnik kliknil | P |
ki jo je uporabnik kliknil. Spretno izvedena | XSS | razobličenja se pogosto uporabljajo za manipulacijo | P |
dveri medijskih družb in časopisnih hiš. Delo | XSS. | PNG; Prikaz XSS razobličenja in prikaza lažnih | P |
Delo XSS. PNG; Prikaz | XSS | razobličenja in prikaza lažnih novic. Zaslonska | P |
Verjetno ni treba posebej poudariti, da je od | XSS | razobličenja do ribarjenja zelo majhen korak | P |
ustanove. Kje je vzrok za tako učinkovitosti | XSS? | Križno izvajanje skriptov ne izbira žrtev. | P |
ruby, python ..., vsi so enako dovzetni za napade | XSS. | Druga težava je sam javascript. | P |
naprave so, zahvaljujoč javascriptu, ranljive za | XSS. | Seveda XSS ni omejen zgolj na uporabo javascripta | P |
zahvaljujoč javascriptu, ranljive za XSS. Seveda | XSS | ni omejen zgolj na uporabo javascripta.Napade | P |
Kako se lahko zaščitimo? Zaščite pred | XSS | se lahko lotimo na dveh ravneh: aplikacijski | P |
dolžine vstavljenega niza (najkrajši znani vektor | XSS | trenutno meri 18 znakov), - uporaba piškotkov | P |
filtriranje posebnih znakov, ki so značilni za napade | XSS | (<, >, /, =, », ', ;, %,...).Metoda je sicer bolj | P |
vhodnimi parametri, s katerimi lahko omejimo napade | XSS. | Microsoft je v ta namen za svojo platformo ASP | P |
olajša in celo odkriva nekatere oblike vektorjev | XSS. | Če smo po naravi nekoliko avanturisti, lahko | P |
avanturisti, lahko preizkusimo tudi vtičnik | XSS | Warning, ki nadvse zanesljivo odkriva odsevne | P |
ki nadvse zanesljivo odkriva odsevne napade | XSS. | Vtičnik še nima uradnega soglasja s strani Mozilla | P |
PNG; Vtičnik NoScript za Firefox Slika: | XSS | Warning.PNG; Vtičnik XSS Warning za Firefox | P |
Firefox Slika: XSS Warning.PNG; Vtičnik | XSS | Warning za Firefox Kam naprej? | P |
Kam naprej? Dokončne rešitve pred napadi | XSS | seveda ni.Dokler bodo spletne aplikacije dopuščale | P |
lahko gre drugače?), bo tudi možnost napadov | XSS. | V taki ali drugačni obliki. | P |
podcenjevati. Naslednji korak v razvoju napadov | XSS | je nedvomno avtomatizacija pri iskanju in zlorabi | P |
je bil 1000 uporabnikov. Ob pomoči vrzeli | XSS | je črv v 24 urah »okužil« približno milijon | P |
skriptni otročaji. Vsekakor bo držalo naslednje: | XSS | je novodobna prekoračitev pomnilnika, javascript | P |
prepričani, da smo se ustrezno zavarovali pred napadi | XSS, | je pred vrati že nova grožnja ‐ CSRF (Cross | P |
(leva okolica beseda(e) desna okolica kratice avtorjev kratice naslovov (vse oznake) št. povedi)
Nova poizvedba Pripombe Na vrh strani
Strežnik Inštituta za slov. jezik Fr. Ramovša ZRC SAZU | Iskalnik: NEVA |