Haha, dobrze napisane "Moim zdaniem błąd na takiej stronie to śmiech na sali. Portal z wielocyfrowym budżetem nie może zainwestować w poważne zabezpieczenia?"
@sebastian-ozarek: XSS w polu wyszukiwarki to nie błąd, tylko niedopatrzenie. Nie ma żadnej możliwości, by taką podatność wykorzystać, ponieważ to pole jest odporne na SQL Injection, a na stronie nie pojawia się lista z ostatnimi wyszukaniami innych użytkowników.
@sebastian-ozarek: przejecie sesji polega na zostawieniu na stronoe zlosliwego kodu, krory zajmuje sie kradzieza ciasteczek. W jaki sposob zamierzasz wykonac na cudzym komputerze javascript, skoro pole wyszukiwarki widzisz tylko Ty?
Komentarze (4)
najlepsze
Ale wykop za Ubuntu.