Abuse Melding

Je hebt een klacht over de onderstaande posting:

13-08-2010, 15:09 door Anoniem

Ok, cross site scripting hoort niet voor te komen, maar een meerlaags security model had dit kunnen opvangen Ik snap niet hoe "secure" sessions het cross-site scripting probleem op kunnen vangen. Het voorgestelde script gaat er vanuit dat de aanvaller via de gestolen cookie zelf gaat inloggen terwijl dit niet nodig is om een cross-site scripting bug te exploiten. Op het moment dat de aanvaller javascript kan uitvoeren in de sessie van het slachtoffer kan hij alles automatiseren. Mogelijke CSRF-tokens kunnen uitgelezen worden met XMLHttpRequest. Afhankelijk van de web applicatie kan er informatie uitgelezen worden, wachtwoorden veranderd worden, etc. Dit gebeurt dan allemaal in de session en via de browser van het slachtoffer (dit is dan ook het hele idee achter cross-site scripting) De voorgestelde mitigations (SSL, HttpOnly, IP adres loggen?, session lifetime, etc.) voegen vrijwel niks toe. Het biedt geen bescherming tegen cross-site scripting bugs en het zorgt er ook niet voor dat cross-scripting bugs ...

Beschrijf je klacht (Optioneel):

captcha