xss_napadi
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| xss_napadi [2023/11/27 14:01] – zrinka | xss_napadi [2025/12/01 11:40] (current) – external edit 127.0.0.1 | ||
|---|---|---|---|
| Line 2: | Line 2: | ||
| **XSS (Cross-site scripting)** tip je napada uključenja u kojem napadač ubacuje malicioznu skriptu u web stranicu koju korisnici smatraju povjerljivom. U najranijim verzijama napada fokus napadača bila je krađa podataka cross-site zahtjevima, odnosno zahtjevima koji idu preko više stranica. Od tada je evoluirao te obuhvaća uključenje bilo kakvog sadržaja u web stranicu.\\ | **XSS (Cross-site scripting)** tip je napada uključenja u kojem napadač ubacuje malicioznu skriptu u web stranicu koju korisnici smatraju povjerljivom. U najranijim verzijama napada fokus napadača bila je krađa podataka cross-site zahtjevima, odnosno zahtjevima koji idu preko više stranica. Od tada je evoluirao te obuhvaća uključenje bilo kakvog sadržaja u web stranicu.\\ | ||
| - | Funkcionira | + | Funkcionira |
| JavaScript kôd, najčešće u obliku klijentske skripte. Nakon njegova izvršenja napadač ima potpunu kontrolu | JavaScript kôd, najčešće u obliku klijentske skripte. Nakon njegova izvršenja napadač ima potpunu kontrolu | ||
| nad korisnikovim interakcijama na toj stranici. Ovo je vrlo raširen tip napada. Svaki dio web stranice u | nad korisnikovim interakcijama na toj stranici. Ovo je vrlo raširen tip napada. Svaki dio web stranice u | ||
| Line 23: | Line 23: | ||
| Skripta je obično takva da napadač može pristupiti i mijenjati sve korisnikove podatke, izvoditi sve akcije na stranici koje su njemu dozvoljene te čak izvoditi napade u njegovo ime. | Skripta je obično takva da napadač može pristupiti i mijenjati sve korisnikove podatke, izvoditi sve akcije na stranici koje su njemu dozvoljene te čak izvoditi napade u njegovo ime. | ||
| - | //Stored XSS (Persistent, | + | //Stored XSS (Persistent, |
| nekog poslužitelja. Ni u ovom se slučaju ne provodi nikakva provjera jesu li ti podatci sigurni za | nekog poslužitelja. Ni u ovom se slučaju ne provodi nikakva provjera jesu li ti podatci sigurni za | ||
| korištenje. Unos podataka može opet ići preko korisničkog unosa, no razlika je u tome što se ti | korištenje. Unos podataka može opet ići preko korisničkog unosa, no razlika je u tome što se ti | ||
| - | ranjivi podatci pohrane i mogu doći do drugih korisnika. Dobar primjer je stranica | + | ranjivi podatci pohrane i mogu doći do drugih korisnika. Dobar primjer je stranica |
| | | ||
| izvršit će se svakom korisniku koji poželi dohvatiti njegov komentar, odnosno svakom korisniku koji otvori | izvršit će se svakom korisniku koji poželi dohvatiti njegov komentar, odnosno svakom korisniku koji otvori | ||
| taj članak. | taj članak. | ||
| - | Zadnji je // | + | Zadnji je // |
| | | ||
| < | < | ||
| Line 84: | Line 84: | ||
| kako bi im lakše mogao pristupiti. Mario je nastavio koristiti svoju stranicu, i zaista se uvjerio da | kako bi im lakše mogao pristupiti. Mario je nastavio koristiti svoju stranicu, i zaista se uvjerio da | ||
| nije time napravio nikakav propust. | nije time napravio nikakav propust. | ||
| - | Ukoliko | + | Ako i ti želiš koristiti stranicu, sve što moraš napraviti je registrirati se i ulogirati. Tada ćeš |
| moći pretraživati i slati korisne linkove svojim prijateljima i adminu, koji je naravno Mario. | moći pretraživati i slati korisne linkove svojim prijateljima i adminu, koji je naravno Mario. | ||
| Line 132: | Line 132: | ||
| Flag je URL-encoded, | Flag je URL-encoded, | ||
| - | %5B [ \\ | + | ^ Kod ^ Značenje znaka ^ |
| - | %5D ] \\ | + | |%5B |[ | |
| + | |%5D |] | | ||
| ===Izvori=== | ===Izvori=== | ||
xss_napadi.1701093677.txt.gz · Last modified: 2025/12/01 11:40 (external edit)