Коментарі для запису: Post Persistent XSS (Saved XSS) уразливості http://websecurity.com.ua/2641/ Tue, 21 Apr 2026 17:56:28 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/2641/#comment-235815 Wed, 26 Nov 2008 21:13:47 +0000 http://websecurity.com.ua/2641/#comment-235815 Можна було прочитати статтю через дві лінки (лінка на Міжбраузерний Code Execution через XSS і потім лінка на опис Saved XSS в Опері), а можна було і через одну лінку. Зі словом "Opera" яка - в цій статті я зробив лінку на опис Saved XSS в Opera ;-). Для того ж лінки й дають, щоб за додатковою інформацією можна було по ним зайти. Можна було прочитати статтю через дві лінки (лінка на Міжбраузерний Code Execution через XSS і потім лінка на опис Saved XSS в Опері), а можна було і через одну лінку. Зі словом “Opera” яка - в цій статті я зробив лінку на опис Saved XSS в Opera ;-) . Для того ж лінки й дають, щоб за додатковою інформацією можна було по ним зайти.

]]> від: trovich http://websecurity.com.ua/2641/#comment-234567 Mon, 24 Nov 2008 14:44:28 +0000 http://websecurity.com.ua/2641/#comment-234567 <em>Як ти можеш прочитати в описі Saved XSS дірки в Опері,</em> Для того треба було прочитати стару статтю аж через два посилання ;) Як ти можеш прочитати в описі Saved XSS дірки в Опері,
Для того треба було прочитати стару статтю аж через два посилання ;)

]]> від: MustLive http://websecurity.com.ua/2641/#comment-234561 Mon, 24 Nov 2008 14:36:18 +0000 http://websecurity.com.ua/2641/#comment-234561 <strong>Сергій.</strong> Як ти можеш прочитати в описі Saved XSS дірки в Опері, дірка спрацює при збереженні сторінки як Web Archive (і при цьому зберігти файл треба з розширенням htm/html, для виконання коду). Саме в цьому випадку Opera зберігає урл не в url encoded вигляді, а в ASCII. Сергій.

Як ти можеш прочитати в описі Saved XSS дірки в Опері, дірка спрацює при збереженні сторінки як Web Archive (і при цьому зберігти файл треба з розширенням htm/html, для виконання коду). Саме в цьому випадку Opera зберігає урл не в url encoded вигляді, а в ASCII.

]]> від: trovich http://websecurity.com.ua/2641/#comment-234132 Sun, 23 Nov 2008 20:33:59 +0000 http://websecurity.com.ua/2641/#comment-234132 Не зрозуміло, в яких саме випадках спрацьовує ця вразливість. Справа в тому, що, наприклад Опера 9.60 (Linux) зберігає інформацію про урл джерела в url encoded вигляді: <em>?--%3E%3Cscript%3Ealert(%22XSS%22)%3C/script%3E</em> Щодо IE не скажу, бо в мене його нема. Не зрозуміло, в яких саме випадках спрацьовує ця вразливість.

Справа в тому, що, наприклад Опера 9.60 (Linux) зберігає інформацію про урл джерела в url encoded вигляді:
?–%3E%3Cscript%3Ealert(%22XSS%22)%3C/script%3E

Щодо IE не скажу, бо в мене його нема.

]]>