Главная страница
Разработка сайта
Раскрутка сайта
Реклама в Интернете
Модернизация сайта
Услуги
Шаблоны
Дополнения к сайту
Контакты
 
 
 

 

Изготовлкение сайта визитки, модернизация сайта, шаблоныСледующие примеры обычно ломаются

  
Следующие примеры обычно ломаются
олицетворение через основное XSS-базируемое воровство печенья, но может все еще эксплуатироваться если жертва
браузером можно отдаленно управлять:
■ идентификация HTTP помешает нападениям воровства печенья, как опознавательная информация
не доступным для JavaScript и не может быть показан нападавшему с XSS
нападение. Однако, если браузер жертвы вызван обратиться к сайту с существующим
заверенный сеанс, тогда браузер автоматически пошлет идентификацию
информация в заголовках HTTP.
■ ТО ЕСТЬ cookies HttpOnly, которое не доступно для JavaScript также, не может быть отправлен
нападавший с нападением XSS. Как механизм идентификации HTTP, если
браузер жертвы вызван обратиться к сайту, браузер автоматически пошлет
cookies HttpOnly в заголовках HTTP.
■ Web-страницы с внедренной секретной информацией в печеньи фольги URL связи/действия
нападения воровства, поскольку нападавший также должен знать другую информацию в URL к
исполните роль жертвы. Это может быть определено с типичным нападением XSS, но этим
требует, чтобы нападавший имел комплекс XSS JavaScript логика, которая читает HTML
документ, связи разборов, и вперед связывает информацию наряду с cookies. Если
жертва вынуждена следовать за оригинальными связями, секретная информация будет сохранена
в запросах.
■ Побочные клиентом свидетельства для того, чтобы подтверждать подлинность и создавать подключение SSL предотвратит
олицетворение воровства печенья как простой захват печенья от жертвы,
и не будет позволять доступ к сайту. Однако, если нападавший может взять под свой контроль a
браузер, который имеет правильное свидетельство SSL, он или она может получить доступ к сайту.
■ IP управления доступа на основе адреса на сервере HTTP могут нарушить олицетворение воровства печенья
отрицая доступ сервера к нападавшим, которые не находятся в списке доступа IP.
Однако, если браузер жертвы будет вызван обратиться к сайту, то трафик будет
от адреса IP жертвы и будет позволяться списком доступа сервера.
■ Браузеры и серверы, расположенные позади межсетевой защиты может сделать воровство печенья бесполезным, как
нападавший вне межсетевой защиты не может соединиться непосредственно с firewalled Web-сервером.
 
 
^в начало^