К вопросу о XSS

Posted Опубликовал cross в Продвижение сайтов     Comments 14 comments
Сен
23

Не раз сталкивался с постами о XSS-уязвимости на различных блогах, но так и не нашел ответ на вопрос: Профиксил ли Яндекс и Google данную уязвивость?

XSS — (англ. Сross Site Sсriрting) — межсайтовый скриптинг, тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве. Иногда для термина используют сокращение CSS, но, чтобы не было путаницы с каскадными таблицами стилей, используют сокращение XSS.

Довольно сложная терминология и для людей незнакомых с хаккингом врятли что-то будет понятным. Я себя тоже не очень уютно чувствую читая эти сложные термины :)

Потому лучше приведу пример того, как этим можно пользоваться в своих корыстных(и по сути черных))) целях - для продвижения сайта:

  1. Продвижение и оптимизация сайтов
  2. Seo продвижение и оптимизация сайтов

И так можно делать до бесконечности :) Ждать переиндексации и, если баг не профиксен - получать свой траф таким вот нечестным способом.

Специально проставил ссылки на вас, чтобы баг был исправлен. Сам сажусь фиксить тоже.

14 Комментов к “К вопросу о XSS”

  • 23 Сентябрь 2007 в 12:45
    KMiNT21 :

    > Не раз сталкивался с поставими
    с постами?

    > Потому лучше приведу пример того

    Ой-ой-ой, исправь пост, а то введешь читателей в заблуждение. :)

    Если ты при переходе по такой ссылке НЕ ВИДИШЬ ссылку на себя – значит такого бага нет. :)

    А про XSS-уязвимости – помнишь, я на planet.netpoint вам показал что это такое? :)

  • 23 Сентябрь 2007 в 12:47
    KMiNT21 :

    Вот тебе пример дырок таких: http://www.habrahabr.ru/blog/searchengines/9418.html

  • 23 Сентябрь 2007 в 12:57
    cross :

    Ты читаешь посты быстрее чем я их перечитываю и исправляю :) В этом я не виноват! :)

    По поводу планету помню. Казалось бы ничего страшного, но когда по всему экрану летает псевдо-3D надпись – понимаешь, что это все таки кракинг.

  • 23 Сентябрь 2007 в 13:21
    KMiNT21 :

    > Казалось бы ничего страшного

    Вот именно, что БЫ.

    А представь, что кто-то вставит не 3Д-прикол, а ифрейм, который пользователей вирусом заражать будет.

    Гугл тебя БАЦ – и … И бизнесу КИДРЫК наступит. Попробуй сделать в гугле поиск по keylogger и перейти на сайт блазинг-тулс.ком (он на второй странице уже… опустился). И обрати внимание на надпись “This site may harm your computer.”

  • 23 Сентябрь 2007 в 13:46
    cross :

    Чую надо ставить плюшку цитирования комментов :)

    Да, меня надпись про “возможнсть этого сайта навредить компьютеру” сразу уводит в сторону :)

  • 23 Сентябрь 2007 в 13:51
    Юрий :

    Боян. К тому же, пользователи вордпресса защищены от этого 8)

    Кстати, можно еще было бы упомянуть про уязвимость форм отправки обратной связи, когда можно рассылать спам от лица создателей невинного сайта 8) Правда, эту багу тоже многие пофиксили простым регулярным выражением.

  • 23 Сентябрь 2007 в 14:26
    KMiNT21 :

    > Да, меня надпись про “возможнсть этого сайта навредить компьютеру” сразу уводит в сторону

    Ты кликать, наверное, не пробовал. :) Там вообще страшное сообщение на экране и все. Ссылки на сайт нет. Только вручную можно УРЛ скопировать и вставить в браузер.

  • 23 Сентябрь 2007 в 14:42
    Alex_ovd :

    Недавно случай был. Искал окна в привозе. Нашел контору с сайтом окна.зп.юа. Зашел, поймал вируса, от которого не смог избавится. Переставил винду=) Потом искал окна в Гугле, нашел этот сайт с пометкой его вредности. Эх… если бы я искал гуглом сначала=)

  • 23 Сентябрь 2007 в 14:46
    cross :

    Вот и я об этом же :)

    3 месяца назад без страха клацал куда хочу – 6 раз винду за месяц винду переставлял и перезаливал корневые файлы всех сайтов в моем фтп-списке тотал-коммандера )

    В баню сайты с такой пометкой. Хотя удивительно, почему они так часто встречаются в топе у Google.

  • 26 Сентябрь 2007 в 22:11
    Бэклинки :

    [...] один вариант, даже более интересный, чем XSS хакинг, буду внедрять в свой рабочий процесс – работа с [...]

  • 11 Апрель 2008 в 22:37
    Белый сайт :

    [...] ругаются меня из-за XSS и в частности из-за безмерного стремления поднятия [...]

  • 18 Апрель 2008 в 19:12
    Гарик Булбдог :

    я использую xss для ГС.
    Конечно цель-в сапе срубить побольше….И то,поднимаю на 80-100,а не как некоторые на 500,бывает и на 2000
    А потом удивляются,почему обнулили(база вроде нормальна).Были такие случаи.Один прогнал за 150 $.Сайт сырой-1-2 месяца а Тиц 2600..вот и обнулили,в яндексе тоже не дураки сидят

  • 18 Апрель 2008 в 20:39
    cross :

    Конечно, пользоваться надо с умом и, если и распространять, то только за баснословные деньги или действительно авторитетным людям.

  • 3 Июнь 2008 в 23:16
    Zirby :

    Очень полезный блог, автор всегда (почти) описывает актальные темы. Спасибо.

Оставить коммент

Donation Bar

Order Links

Топ комментаторов

  • No commentators.