Обновление плагина «Anti-XSS attack»

Как мне подсказали (спасибо, Kesha) плагин Anti-XSS attack всё-таки можно обойти. Если кратко, то в плагине проверяется вхождение «родного» адреса в адрес реферера. Таким образом можно сформировать url, содержащий адрес атакуемого сайта и выполнить POST. Плагин в данном случае не сработает, поскольку в referer будет содержаться адрес атакуемого сайта.

По этой причине я переписал плагин. Теперь он строго проверяет входящий и «родной» host'ы и в случае несовпадения выдает соответствующее предупреждение.

Если вы использовали предыдущую версию, то я бы рекомендовал его обновить. Текущая версия 0.4 beta.

Плагин «Anti-XSS attack»

Загрузок: 1217. Размер: 0.7 Кб. Файл: anti-xss-attack.zip

Постоянная ссылка: http://maxsite.org/?p=354
Версия для печати

7 комментариев к “Обновление плагина «Anti-XSS attack»”

1. Игорь Долбин: 8 февраля 2008 в 23:50 Обновился . Безопасность прежде всего!

2. Абсурдный Людь: 9 февраля 2008 в 03:43 +1

3. Maksus: 9 февраля 2008 в 04:23 Спасибо огромное! Что бы мы без тебя делали?!

4. Dimox: 9 февраля 2008 в 17:16 Максим, спасибо за благородное дело!

5. mekaL: 9 февраля 2008 в 17:57 спасибо, обновился) вроде работает)

6. sonika: 10 февраля 2008 в 01:24 Спасибо!

7. Оптимизатор: 10 февраля 2008 в 23:23 Спасибо. скачаем заново

Оставьте комментарий! (Вы согласны с правилами)

Имя (обязательно)

E-mail (не для публикации) (обязательно)

Сайт

 

При добавлении кода (html, php) заменяйте < на &lt; и > на &gt;.
Внимание: антиспам - зверь! Копируйте своё сообщение перед отправкой. На всякий случай.

Введите только нижние символы

Уведомить меня о новых комментариях через эл.почту