Мирный XSS

[321]

Спасибо автору за статью :)

[tenshi]

ещё можно попробовать через «third party cookies»

в мозилле также работает передача через plain-text и xslt

[azproduction]

Решил проверить насчет чужих кукисов.
Зашел в фаерфоксе на хабр, сбросил весь кэш. Просмотрщик кусисов сообщает, что были установлены куки с body.imho.ru (NGUserID), видимо через баннер.
Проверка javascript:alert(document.cookie) обнаружила только местные.

[tenshi]

очевидно для этого домена не прописана p3p политика
www.w3.org/TR/P3P11/#cookies

[nayjest]

К каждому методу бы наглядную реализацию — было б супер!

[si1v3r]

Вообще было бы неплохо еще во вступлении написать что такое XSS. Ценность статьи бы резко повысилась.

[bolk]

Если не ошибаюсь, IE8 имеет реализацию XSS XHR.

[TheBits]

Есть тестирование IE8. О XHR там нет ничего. :|
www.securitylab.ru/analytics/363593.php

[bolk]

Вот, например: magmainteractive.net/weblogs/post/Internet-Explorer-8-and-Cross-domain-Requests.aspx

[den1234554321]

>Создается тэг iframe, вешаются эвенты, изменяется src – все, поехал запрос.
>Данные приходят в тело документа iframe.
>Извлекаются данные из contentWindow.

Если src на другой домен, то js не достучится до содержимого contentWindow по политике безопастности.

>Через тэг script
…
>идет извлечение данных из его тела.

как? знаю способ только для оперы.

>Затем через DOM достаем все, что после about:blank.
А вот это очень интересно!

[azproduction]

Спасибо за коменты. Уточнил статью на счет извлечение кода javascript.
Надо покопать исходники фаербага и узнать как достает то, что лежит в ифрэйме (его код — тот же javascript). Правда у него права могуть быть рутовые )

[dnabyte]

Расширения для FF имеют права сравнимые с правами самого FF.

[Regis]

Ну не то чтобы совсем рутовые, но всё же JS скрипты плагинов в FF имеют более высокие права, чем JS скрипты на сайтах.

[DnKrozz]

ну, если в iframe скрипт запускает postMessage то почему бы и загружаемый через тег script код не выполнил бы вызов нужной ф-ции и не послал бы в нее данные. вполне удобный способ и везде работает.

[dnabyte]

Про Flash <-> JavaScript
Вот описание www.inattack.ru/article/572.html
Вот пример eyeonsecurity.org/advisories/flash-demo/demo1.html если подождать выдаёт алерты

[ppbimix]

ээээх, а я думал тут о хакерстве будет :(

[kellas]

может напишите продолжение, как от каждого метода защититься?
спасибо.

[kellas]

прошу прощения, не вник сразу в статью, перечитал, понял, ещё раз спасибо!

[xonix]

Почему не упомянули postMessage() API из HTML 5 (кстати, поддерживается в FF 3.0.X)
ejohn.org/blog/cross-window-messaging/

[azproduction]

Спасибо за дополнение. Классифицировал этот метод, как «Через iframe».
Хорошо, когда статья дополняется другими.

[Gospodin]

К тому же еще и обещают поддержать в IE8, единственное что его реализации слегка рознятся в разных браузерах и их версиях, ибо используют разные версии черновика HTML5 спецификации.

[art_orlov]

Особо широко используются методы 2 и 7.

Использование скриптов называется JSONP и его давно предлагают в своих публичных API Google и Yahoo.

Для более безопасной поддержки последних запросов Клокфорд несколько лет назад предложил JSONRequest

[MpaK999]

не плохой материал, хотя и не ново…
кстати, не пойму, почему не используют более понятный термин CSS (Cross Site Scripting), чем непонятное обозначение XSS