Kaip nesielgti ?Jus taip nedarykite Vasara del savo neismanymo nukentejo daugelis Lietuvos svetainiu: centras.lt search.lt ir kitos, kuriose buvo skelbimu lentos ar guestbook`ai. As maniau, kad tai buvo gera pamoka ju administratoriams, bei visiems kitiems. Bet pasirodo as klydau. Viena diena, narsydamas www ir sededamas IRC radau nuoroda i viena idomu puslapi: www.satan.lt - juodosios brolijos puslapis. Uzsukes i ji ir perzvelges, sumaniau uzsukti i guestbook`a ir pagirti saita. Uzsikrovus guestbook`ui pamaciau kazka panasaus i tai: galima ivesti html komandas. Pvz: vietoj [ENTER] galima rasyti
. Ir ka jus apie tai manot??????????? Ar tai ne administratoriu klaida, baisi klaida? Bet, pagalvojau as, gal jie nors JavaScrip filtruoja? Tad as emiau ir isbandziau tai. Paprasciausiai irasiau prie savo girtino/peiktino teksto keles eilutes: ; beto idejau nuoroda i uid0 saita: Aisku as galejau visiskai sudirbti si saita: JavaScript pagalba galejau atidaryneti, uzdarineti langus, bei daug daug kitko, iterpus nuoroda i file:///con/con/ galejau nukepti visus win 9.x vartotojus, kurie ten uzklystu. Bet as taip nesiilgiau. As paprasciausiai padariau tik ispejima puslapio webmaster`iui. Kur sio dokumento vertes objektas? Viena kart ismokite daryti tai gerai, ismokite mokytis ne tik is savo bet ir is kito klaidu. Filtruokite savo chat`uose, guestbook`uose, mesage bourde`uose ir kitur kur lankytojai gali ivest teksta (ir jis bus spausdinamas html dokumente) visus HTML tagus, neleiskite vykdyti JavaScript, VisualBasic ir pan. Narsykite www tik isjungia Java. Taip jus isvenksite Java/JavaScript ataku. P.S. As tai nelaikau tikru hackinimu, tai paprasciausiai...
@ Chosen-team