Сегодня в Яндекс.Вебмастер увидел новое сообщение:

Чаще всего для XSS-атак используют поисковую форму, в нее помещается специально сконструированный HTML-код, а после этого дают ссылку на данную страницу «жертве», в последнее время жертвой часто становится поисковая система, а вся причина с том что через XSS можно оставлять ссылки на свой сайт, чем и пользуются серые СЕОшники.

Простой рецепт как себя обезопасить:
— использовать метод POST для передачи данных из форм, даже если скрипт и будет уязвим, на него нельзя будет ссылаться;
— обрабатывать все входящие данные функцией htmlspecialchars(), после чего, можно безопасно выводить текст в браузер;

Я так все и сделал, да вот как обычно кое-что упустил, а причина оказалась банальной, в поисковой форме выводился обработанный «запрос», а вот про тайтл страницы я забыл, чем умелец и воспользовался, он поместил в форму следующий запрос: 0′"></title> <a href=http://www.watchesstore.ru> watches </a><
Результатом чего стало: закрытие тэга title, вывод ссылки с анкором на его сайт, вывод всего остального контента.

Кстати, спасибо Яндексу за бдительность, насколько я понял, вес от таких ссылок он не передает, так что использование бага стало бессмысленным.

Похожие записи:

• Кросс-платформенность скриптов
• Запущен скрипт мониторинга
• Новый огнелис
• Google сменил дизайн
• Поздравляем! Ваш блог добавлен в Яндекс.Каталог

• Blink
• del.ici.ous
• Digg
• Furl
• Google
• Simpy
• Spurl
• Y! MyWeb
• БобрДобр
• Мистер Вонг
• Яндекс.Закладки
• Текст 2.0
• News2
• AddScoop
• RuSpace
• RUmarkz
• Memori
• Закладки Google
• Писали
• СМИ 2
• Моё Место
• Сто Закладок
• Ваау!
• Technorati
• RuCity
• LinkStore
• NewsLand

Опубликовано 29 августа 2009 года в категории «С миру по нитке»