Мы все думали, что DataLife Engine является идеальной системой, не имеет никаких уязвимостей, а администраторы могут использовать с большим удовольствием все функции этой системы, убеждены, что эта CMS является непобедимой.

Я тоже так думал, что DLE вообще неуязвимая. Но несколько дней назад, во время проверки уязвимостей в моем модуле, я был очень неприятно удивлен тем, что нашел, а нашел я - XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость.

К счастью, не смотря на то, что это активная XSS, куки не могут быть украдены так легко, как кажется. Ведь в движке используется несколько особенные функций, которые защищают куки, чтобы не были украдены. НО, я сказал что "куки не могут быть украдены так легко", а это не значит, что получить их невозможно.

Получит хакер куки или нет, зависит только до какого предела он готов пойти, насколько внимательны администраторы и на каком сервере находится сайт.

После Касперски и BitDefender, настало время и для www.f-secure.com.

Для того чтобы получить доступ к данным, румынский хакер, Tocsixu, использовал SQL-инъекции, а также он нашёл XSS (Cross Site Scripting).

К счастью, у F-Secure нет утечки конфиденциальных данных, лишь некоторые статистические данные о прошлых вирус деятельности.

Сценарий по-прежнему активным и используется для кражи сессий активных счетов Yahoo!

Не посетите сайт без отключенного javascript, иначе вы можете остаться без вашей электронной почты.

XSRF (англ. Сross Site Request Forgery - «Подделка межсайтовых запросов») - вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника).

Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя....

XSS (англ. Сross Site Sсriрting - «межсайтовый скриптинг») - тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве.

Иногда для термина используют сокращение «CSS», но чтобы не было путаницы с каскадными таблицами стилей, используют сокращение «XSS».

Условно XSS можно разделить на активные и пассивные: