• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

html injection

Aruba Cloud PRO i VPS, Openstack, VMWare, MS Hyper-V
0 głosów
96 wizyt
pytanie zadane 19 marca w Bezpieczeństwo, hacking przez s1m1nv1k Początkujący (270 p.)

Cześć, mam takie pytanko, powiedzmy że na stronie z wykupioną domeną i hostingiem np. http://www.exampleweb.com znajduję się najprostszy formularz podatny na wstrzyknięcię kodu html. Jeśli wstrzyknę cos w rodzaju,

<h1>test</h1>

to czy wstrzyknięty kod będzie widoczny dla innych użytkowników strony? Jeśli moje pytanie jest głupie albo coś to przepraszam ale uczę się na bwappie i nie za bardzo rozumiem jak taki typ ataku działa w praktyce.

1 odpowiedź

+1 głos
odpowiedź 19 marca przez Wiciorny Ekspert (251,570 p.)
wybrane 19 marca przez s1m1nv1k
 
Najlepsza

Jeśli formularz jest podatny, to masz odp. że tak będzie to problem. Natomiast podatny formularz na html/js/logging sql itd injection to jest po prostu błędnie zaimplementowany mechanizm obsługi formularza.
Tez nie rozumiem, co masz na myśli widoczny "dla innych użytkowników".

Zależy jaki to formularz, gdzie wysyła dane, gdzie one są zapisywane, jak są prezentowane, bo jeśli formularz jest elementem który potem wyświetla się w pewnych sekcjach na stronie, to dobrze sprawdzony "html" inject może spowodować nie co posypanie się "layoutu" sekcji, strony itd. też jeśli jest możliwy html, to prawdopodobnie scrypt mozna również wykonywać, a to jest niebezpieczne.
W skrócie: 
Twoje pytanie nie jest głupie, bo W przypadku, gdy na stronie znajduje się formularz podatny na wstrzyknięcie kodu HTML, a Ty wprowadzisz tam kod HTML (lub inny kod, np. JavaScript), to taki kod może zostać wykonany w przeglądarce użytkowników strony, którzy będą mieli dostęp do przesłanego przez Ciebie kodu.
 Oczywiście, taki atak nie ma zbyt dużego znaczenia w przypadku wstrzyknięcia jedynie takiego kodu, ale w przypadku bardziej zaawansowanych ataków typu XSS (Cross-Site Scripting), może to prowadzić do poważnych problemów bezpieczeństwa, np. kradzieży danych logowania użytkowników lub przejęcia kontroli nad ich kontami.

komentarz 19 marca przez s1m1nv1k Początkujący (270 p.)

chodzi mi o to czy ten przykładowy nagłówek

<h1>test</h1>

po wstrzyknięciu będzię widoczny na tej przykładowej stronie dla innych odwiedzjących tą strone

komentarz 19 marca przez Wiciorny Ekspert (251,570 p.)
tak, jeśli formularz jest podatny, ale tez nie wiadomo gdzie te dane są wysyłane więc  to zależy :)

Podobne pytania

+2 głosów
3 odpowiedzi 177 wizyt
0 głosów
4 odpowiedzi 246 wizyt
+1 głos
1 odpowiedź 213 wizyt

90,871 zapytań

139,545 odpowiedzi

313,823 komentarzy

60,356 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Sklep oferujący ćwiczenia JavaScript, PHP, rozmowy rekrutacyjne dla programistów i inne materiały

Oto dwie polecane książki warte uwagi. Pełną listę znajdziesz tutaj.

...