Хотел сначала написать статью про xss-injections, и уже начал писать, но остановился. Есть грань, между html и xss, которую важно понять, и проще объяснить ее начиная с простого.Итак, html injection - это инъекция со стороны браузера. То есть это внедрение кода, который выполняется у вас локально, и к серверу, в основном, отношения не имеет.
Хочу описать 2 примера использования html инъекции: 1. Самый распространенный пример html инъекции - это когда на сайте, в строке поиска внедряют iframe. Никаких вредных действий произвести у вас не получиться в данном случае. пример iframe injection: Code <iframe src="elio.at.ua"> 2. Это возможность чтения других файлов расположенных на сайте, по средствам построения правильного запроса, достаточно немного по манипулировать со строкой адреса. Даже хотел привести пример данной баги, но на момент написания статьи багу уже пофиксили, посему могу только сослаться на habrahabr.
Html injections - встречается чаще всего, многие находя его начинают потирать руки, со словами - "сейчас я взломаю сайт" но сильно не воодушевляйтесь, если это html injection (а не php, или скажем xss injection), кроме как побаловаться, больше скорей всего у вас ничего не выйдет.
В ближайшие дни постараюсь описать остальные типы инъекций, если вдруг кому интересно :)
|