Cross-site scripting hacks dans les applications Web
Cross-site scripting (XSS) est peut-être la vulnérabilité du Web le plus connu qui peut obtenir votre site piraté. XSS se produit quand une page Web affiche l'entrée d'utilisateur - généralement via javascript- qui ne sont pas correctement validé. Un hacker criminel peut profiter de l'absence de filtrage d'entrée et provoquer une page Web pour exécuter du code malveillant sur l'ordinateur de tout utilisateur qui consulte la page.
Par exemple, une attaque XSS peut afficher le nom d'utilisateur et mot de passe de connexion la page d'un autre site voyous. Si les utilisateurs entrent inconsciemment leurs ID utilisateur et les mots de passe dans la page de connexion, les ID utilisateur et mots de passe sont entrés dans le fichier journal du serveur Web de l'intrus.
Autre code malveillant peut être envoyé à l'ordinateur d'une victime et exécuté avec les mêmes privilèges de sécurité que le navigateur Web ou une application e-mail qui est l'affichage sur le Système- le code malveillant pourrait fournir un pirate en pleine lecture / écriture accès aux cookies de votre navigateur, fichiers d'historique du navigateur, ou même permettre le téléchargement / installation de logiciels malveillants.
Un test simple permet de savoir si votre application web est vulnérable à XSS. Recherchez tous les champs de l'application qui acceptent les entrées de l'utilisateur (comme sur un formulaire de connexion ou de recherche), et entrez l'instruction javascript suivant:
Si une fenêtre apparaît qui lit XSS, l'application est vulnérable.
Il ya beaucoup plus d'itérations pour exploiter XSS, telles que celles nécessitant l'interaction de l'utilisateur via le javascript onmouseover fonction. Comme avec l'injection de SQL, vous avez vraiment besoin d'utiliser un scanner automatisé pour vérifier XSS. Les deux WebInspect et Acunetix Web Vulnerability Scanner font un excellent travail de trouver XSS. Ils ont souvent tendance à trouver différents problèmes XSS, un détail qui souligne l'importance de l'utilisation de plusieurs scanners quand vous le pouvez.
Un autre scanner de vulnérabilité web qui est très bon à découvrir XSS que de nombreux autres scanners ne trouveront pas est NTOSpider partir Objectifs NT. NTOSpider fonctionne mieux que les autres scanners à effectuer des scans authentifiés contre les applications qui utilisent des systèmes d'authentification multi-facteurs. NTOSpider devrait certainement être sur votre radar comme un scanner primaire ou secondaire potentiel. Rappelez-vous: Quand il vient aux vulnérabilités Web, les scanners plus sera le mieux!
-
Évitez les hacks sur les postes de travail sans fil vulnérables -
Tampons hacks de débordement dans les applications Web -
Injection de code et injection SQL hacks dans les applications Web -
Hacks qui exploitent patchs manqués -
Manipulation de champ caché hacks dans les applications web - Comment utiliser les éditeurs hexagonaux pour identifier les vulnérabilités piratage
Exécuter des analyses authentifiées pour éviter hacks sur les systèmes Windows Un autre test que vous pouvez exécuter pour protéger vos systèmes Windows à partir de hacks est un “ authentifié ” scan - essentiellement à la recherche de vulnérabilités comme un utilisateur de confiance. Ces types de tests…
Cisco Wireless LAN processus d'authentification Web Le processus d'authentification Web est une fonction de sécurité de couche 3 qui permet au contrôleur Cisco Wireless LAN pour bloquer tout trafic IP du client non authentifié à l'exception du trafic DHCP. Après que le client a obtenu une…
Comment brancher un scanner à votre Mac Un scanner accroche habituellement par le biais d'un port USB, bien que les modèles FireWire sont sur le marché aussi bien. Ou vous pouvez gagner un scanner dans le cadre d'un multifonction ou tout-en-un, appareil. Un scanner vous permet de…
Comment mettre en place un scanner dans Windows Vista Pour mettre en place une nouvelle scanner dans Windows Vista, il suffit de brancher et de le mettre en marche. Windows Vista reconnaît presque toujours et les salue par son nom. Mais si Vista ne reconnaît pas votre modèle de scanner particulier,…
Comment alerter les visiteurs que votre site requires javascript De nombreux utilisateurs se méfient de permettre le support de javascript pour les sites, car ils ne veulent pas télécharger un virus ou ont d'autres mauvaises choses arrivent à leurs systèmes. En outre, les gens sont devenus moins…
Comment utiliser des cookies en javascript Biscuits informations sur l'application de magasin sur le dur de l'utilisateur. Quand un utilisateur visite un site, l'application javascript peut utiliser un cookie pour stocker des informations pour une utilisation future. Certains cookies…
Html5 système de toile interaction: les événements d'animation, audio / vidéo, et l'utilisateur Applications HTML5 Canvas communiquent avec le navigateur d'accueil pour les rappels d'animation, la lecture audio / vidéo, et la gestion des événements de l'utilisateur. Cela fournit un canal bidirectionnel entre le code javascript et le…
Construire le code de nidification en java Vous pouvez écrire du code Java de nidification avec si déclarations. Avez-vous vu ces poupées gigognes russes Matriochka mignons? Ouvrez un, et un autre est à l'intérieur. Ouvrir le deuxième, et un troisième est à l'intérieur. Il est un…
Comment utiliser javascript objets navigateur pour gérer l'environnement d'application Objets javascript sur votre navigateur permettent de découvrir et de changer l'environnement d'application. En sachant où l'utilisateur a disparu, où l'utilisateur est maintenant, et où vous pouvez prendre l'utilisateur, vous pouvez…
Sessions de PHP et les cookies Vous avez sans doute vu des sites Web qui utilisent des cookies pour suivre qui vous êtes, peut-être vous accueillir après vous vous connectez ou vous présenter des informations personnalisées sur votre compte après la connexion. Vous pouvez…
Sécuriser les applications PHP avec suexec Si votre application fonctionne sur Apache (comme plus de la moitié des sites Web sur Internet le font), vous voudrez peut-être envisager de permettre SUEXEC dans votre configuration d'Apache. SUEXEC est un mécanisme qui est fourni avec Apache…
Comment se connecter à CMS joomla tant qu'administrateur Pour accéder à ce Joomla désigne comme son système de gestion de contenu d'extrémité arrière (CMS), vous utilisez le panneau de contrôle de l'administration. L'installation par défaut de Joomla inclut un lien vers le panneau de contrôle de…
Comment choisir un scanner pour créer des images numériques Pour la photographie numérique, vos choix de scanner se résument à l'un des trois types de technologie de scanner. Chacun de ces scanners propose une approche différente de la numérisation, afin de choisir celui qui convient le mieux à vos…
Comment accéder à Salesforce Vous devez vous connecter à votre compte pour accéder à l'instance de Salesforce de votre entreprise parce que le site Web Salesforce de chaque entreprise est différente, et salesforce.com va de grands efforts pour protéger vos…