Bezpieczeństwo PKO BP
Autor: Michał Majchrowicz, Mateusz Stępień Data: 27.01.2007, 21:41
odnosnie do tego niusa
niechce wyjśc na jakiegoś zarozumiałego idiote ale wydaje mi sie ze to niejest żadna poważna luka owszem mozna to nazwac bugiem poniewaz kod html zostaje wykonany ale taki stron nawet od niechcenia można zanleść dziesiątki wciągu dnia poczawszy od serwerów rządowych skonczywszy na uniwersyteckich
sam próbowałem to wykozystac wjakiś efektywny sposób
umieszcajac na tych stronach formólarze podatne na xss tworząc ramki zawierające adres strony z xss
i to nic niedaje niemozna wten sposób ujawnic zadnych niebespiecznych informacji zreszta na forum założylłem nowy temat poruszajacy właśnie te kwestie czyli podaność na wykonanie kodu html
nierozumie dlaczego tak jest ze kiedy podppinam do zmiennei typowy skrypt js ujawnai mi sie id sesji a kiedy robie to poprzez iframe okienko jest puste
było by fajnie gdyby sie dało jakoś powaznie wykorzystac tą "podatnośc "
bo naprawde dużo kozackich stron zawiera ten bug