Foros Club Delphi
Página 2 de 2 < 1 2
Mostrar 40 mensajes desde este tema en una página

Foros Club Delphi (https://www.clubdelphi.com/foros/index.php)
-   Seguridad (https://www.clubdelphi.com/foros/forumdisplay.php?f=36)
-   -   Cross Site Scripting (XSS) (https://www.clubdelphi.com/foros/showthread.php?t=38117)

roman 05-12-2006 00:21:46
Pues reitero lo dicho. Estupendo compendio. Y sobre todo, muestra que además yo estaba equivocado al pensar que podía no ser peligroso el segundo tipo de ataque que te advirtieron.

Muchas gracias por aclararnos esto a todos.

// Saludos

dec 05-12-2006 01:15:06
Hola,

Gracias siempre a vosotros Román. Yo creo que el mismo nombre "Cross Site Scripting" quiere decir "cuidado, porque pueden en tu Script código que se ejecute en tu Script, pero que venga de fuera...". La cosa es el juego que puede dar esto. Yo creo que desde luego puede dar mucho más juego que mostrar una alerta al usuario.

Desde luego que hacer "otras cosas" no será a lo mejor tan sencillo de "pasar" que el "alert", pero, si se consigue pasar el "alert" puede que ya sea indicio suficiente como para ir más allá. Desde luego hay que tener ganas de hacerlo, saber hacerlo y ponerse a hacerlo. Yo en esto es pez.

Pero, ya digo, intuyo (por el nombre que se le da al asunto) que la cosa puede resultar: al fin y al cabo es una inyección de código, es decir, se está incluyendo código que se ejecutará en "el entorno" de tu página, acaso con ciertos privilegios, precisamente por eso, y es código que viene de fuera y puede que con malas intenciones...

Yo imagino (desde mi desconocimiento) algo así como si se consiguiera incluir un Script PHP que tu página procesase. Pienso en herramientas que ayudan a realizar el "backup" de una base de datos: este tipo de programas suelen necesitar que tú incluyas determinado código en tu Script, de manera que dicho código se procese en tu Servidor, más aún, precisamente por eso, porque si no es desde tu Servidor no pueden llevar a cabo determinadas tareas.

Pues por ahí van los tiros. ¿No? :D

warpmaster 26-12-2006 22:15:31
Hilo muy interesante
 
Hola a todos!

Soy nuevo por estos lares. Llegué utilizando al sr. Google cuando buscaba información sobre escapar código html en comentarios y tal.

La verdad es que el hilo es muy interesante, claro y conciso. No se hasta que punto es importante estas modificaciones pero no está demás.

En mi caso, había empleado en mi web un senzillo buscador que empleaba una sentencia usando el LIKE '%xxxx' y bueno, lo que leí me pareció justificar los minutos que había que emplear en hacer ese par de cambios. ¿Se puede llegar a hacer SQL injection con un sólo campo de formulario, como en mi caso?No lo se.

En todo caso, gracias por la información!!!

Saludos


La franja horaria es GMT +2. Ahora son las 03:52:15.
Página 2 de 2 < 1 2
Mostrar 40 mensajes desde este tema en una página

Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi