Наверное многие слышали, что невозможно вставить динамически ASP код, т.е. в ASP скриптах атаки типа PHP injection невозможны. Однако (чисто случайно, без злого умысла) заметил у одного сайта с очень высокой посещаемостью возможность динамической вставки ASP кода такой конструкцией (через URL параметр!) <script language=vbscript runat=server> Response.Write "this site is hacked" </script> И такое работает! Когда убераю 'runat=server' то получается обычный XSS.
Я не спец по ASP, но какой код должен быть чтобы такая фигня стала возможной?
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Кто тянет ниточки вашего скролла — и почему пора их перерезать?
Короткий разбор того, как алгоритмы Instagram строят для нас цифровые тюрьмы:
почему каждый лайк стягивает стены пузыря, как это меняет нейронные связи и
где заканчивается персонализация, превращаясь в уязвимость.