XSS na školních stránkách
Zkusil jsem první pokus - <script>alert('XSS');</script>. Nic, tak alert bez uvozovek (kravina), taky nic. Pak mě napadl alert bez hodnoty - v Opeře bngo, ale ve Firefoxu to nešlo. No, takže JavaScript necháme na později (ano, necháme - psal jsem si s Bagym) a zkusíme nějaký ten text. Text se skoro nebránil (jenom před hodnoty tagů se nesmí psát úvozovky) a vše jde bez problému. První verze textu byla o zavření školy, ale nakonec jsem to přepsal na trošku egoičtější text. Nevím, jak se to tam mohlo dostat, ale jsem nejchytřejší student na celé škole. Nevěříte? Věřte. Tady je důkazNakonec Bagy přišel i na způsob, jak propašovat jednoduchý javascript do stránky, která escapuje znaky, nebudu to zde popisovat, znalejší problematiky jistě vědí, hloupější skript-kiddie mají smůlu - ještě by kradli cookies
Počítám, že chyba bude za nedlouho opravena (ve čtvrtek ji nahlásím - máme informatiku
), proto vkládám i obrázek.
Autorem blogu je sedmnáctiletý student neratovického gymnázia, které navštěvuje šestým rokem. Zajímají ho počítače a vše s nimi spojené. Proto také píše tento blog, aby se mohl "vykecat", případně přispět nějakou radou ohledně PC.