===================================================================================
Sakarнas Ingуlfsson's ASP Guestbook
===================================================================================
Мне кажется, что все, кто хоть когда-нибудь сталкивался с программированием
web-приложений, писал гостевухи. Сейчас в мире столько различног рода гостевух, что
просто прибалдеть можно. Вот одна из них. Когда я взглянул на код этой гостевухи, то
просто прибалдел. Таки глюков в коде я еще ни разу не видел. Короче, начну описывать
все по порядку.
Причина всех уязвимостей данного скрипта в том, что данные, полученые из формы,
напрямую передаются их обработчику. Поэтому, вставляя произвольные данные в поля для
вода имени, мыльника, url'а и так далее, можно выполнить атаки, начиная со XSS нападение,
если вставлять в поля HTML и JavaScript код и заканчивая SQL-инъекцией. Проблема
разработчика в том, что он не фильтрует входные данные. Я считаю, что это очень
серьезные уязвимости, поэтому крайне не рекомендую использовать данную гостевую книгу.
P.S. Если честно, то данная гостевая книга - классический пример того, как не надо
писать web-приложения.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
