dimkaar Feb 21 2018 at 16:30

Уязвимости вашего приложения

20 min

27K

JUG Ru Group corporate blogCSS*HTML*JavaScript*Information Security*

+46

Comments 29

andreyverbin Feb 21 2018 at 17:22

Спасибо за статью. Есть ли где-то готовый набор практик и приемов, которые позволяют исключить или уменьшить вероятность получить XSS уязвимость? Это настолько уже обширная тема, что знать все методы XSS атак прикладному программисту просто невозможно. Нужны best practices, которые позволят избежать уязвимостей не вдаваясь в детали их реализации.

PS: К сожалению, судя по количеству комментариев, сообщество не очень интересуется этой темой :(

xsash Feb 21 2018 at 19:06

Для сообщества тема скорее избита уже с XSS

Проверять на валидность/Парсить/Очищать все входящие и исходящие данные.
Остальное тут.

mayorovp Feb 21 2018 at 19:55

Использовать подходы которые исключают вставку "грязных" данных напрямую в разметку.

Например, шаблонизатор Razor (он же ASP.NET WebPages) полностью исключает XSS если не использовать инлайн-скрипты и конструкцию Html.Raw.

Клиентские фреймворки, которые работают с DOM а не с HTML — тоже безопасны (если, опять-таки, не использовать html-биндинги и инлайн-скрипты).

VulvarisMagistralis Feb 22 2018 at 07:35

которые работают с DOM а не с HTML — тоже безопасны

При том что автор привел обратные примеры.

mayorovp Feb 22 2018 at 08:40

если, опять-таки, не использовать html-биндинги и инлайн-скрипты

VulvarisMagistralis Feb 22 2018 at 09:19

Если делать все корректно — у вас все будет хорошо.
Но всегда есть соблазн сэкономить свое время.

Insolita Feb 21 2018 at 17:48

best-practice — не доверять ничему что приходит от пользователя. Куки, заголовки, данные, файлы. Валидировать и санитизить серверной стороной!!! (Валидация на клиенте — только декоративная, чтобы быстро юзеру подсказать что не так, потому что я могу скриптик ручками поправить и отправить в ваше апи любую каку минуя валидации)

VulvarisMagistralis Feb 22 2018 at 07:51

best-practice — не доверять ничему что приходит от пользователя

Не только от пользователя.
От коллег, библиотеки/пакеты которых вы используете в своих продуктах

kmk Feb 22 2018 at 12:35

best-practice — не доверять ничему.

ronisize Feb 22 2018 at 00:59

Спасибо! Хорошая и актуальная статья. Но, «заэскейпить» — как это?

mayorovp Feb 22 2018 at 08:42

На картинке же показано как.

GrafDL Feb 22 2018 at 11:54

htmlspecialchars (если php)

Zibx Feb 22 2018 at 02:59

Тэги и их аттрибуты надо фильтровать только по белому списку. После чего дофильтровывать возможные значения.

tagir_valeev Feb 22 2018 at 06:07

Так вот, за свою шутку Сэми получил 3 года.

Английская википедия говорит

but paying a fine of $20,000 USD, serving three years of probation, working 720 hours of community service

Не находите, что "получил 3 года" — это совсем не то же самое, что "три года условно и 720 часов общественных работ"?

olegchir Feb 22 2018 at 21:32

три года условно в России — тоже срок :) Ты не можешь выбрать Путина, не можешь работать на некоторых работах, обязан отмечаться у всяких мерзких товарищей-участковых, итп. Тебя обязательно заставят найти работу (т.е. просто жить фрилансером не получится). А при приёме на работу, пока срок не закончился, тебе нужно писать судимость — и кто тебя таким возьмёт? И ты даже не можешь выехать из России!

VulvarisMagistralis Feb 25 2018 at 18:20

Не в курсе — не пиши.
Даже реально заключенные, а не условно — имеют право голосовать. Они не могут сами быть избранными.

UFO just landed and posted this here

VulvarisMagistralis Feb 26 2018 at 07:39

Ну, думаю вы знаете, как голосуют в тюрьмах и армии.

В отличие от остальных граждан, которым лениво свою жопу от дивана оторвать в день голосования — голосуют реально, да.

UFO just landed and posted this here

VulvarisMagistralis Feb 26 2018 at 15:00

А содержащиеся в психушках так вообще, с песней.

Недееспособные не имеют право голосовать, о грамотей

UFO just landed and posted this here

907 Mar 7 2018 at 13:34

У знакомого сын получил условный срок.Раз в месяц отмечается, официально не работает, и никто его не заставляет устраиваться на работу.Сейчас вот оформляется даже на УДО…

Tsimur_S Feb 26 2018 at 10:16

ну технически автор не сказал что Сэми получил три года именно тюрьмы так что в чем укор? Тем более три года без интернета, сейчас для многих это наказание было бы худшим кошмаром.

Dionisys Feb 22 2018 at 12:36

По поводу

Vue.js никак нам в этом не помогает. Это должен делать сам разработчик. И вот сейчас, если вы пишете на Vue.js и впервые об этом слышите — у вас уязвимое приложение. Поздравляю.

То v-html применяется специально для вывода сырого html и подразумевается, что это не безопасно давать контроль пользователю над выводимым таким образом значением, вообще v-html используется в крайне редких случаях. Для вывода контента нужно использовать "{{ }}"
ru.vuejs.org/v2/guide/syntax.html#%D0%A1%D1%8B%D1%80%D0%BE%D0%B9-HTML

printercu Nov 7 2018 at 09:47

Слайдов не хватало, надо было что-то добавить. В любом нормальном шаблонизаторе есть вывод сырого html.

Nest_aka_Swan Feb 22 2018 at 13:33

Dynamically rendering arbitrary HTML on your website can be very dangerous because it can easily lead to XSS vulnerabilities. Only use HTML interpolation on trusted content and never on user-provided content.

UFO just landed and posted this here

alex6636 Mar 1 2018 at 10:24

Предлагаю написать новый js-Фреймворк с защитой от xss!

zorn_v Aug 22 2018 at 13:18

# npm i nsp
# npx nsp check
(+) 1 vulnerability found
…
Name │ hoek
…
Path │ project@1.0.0 > nsp@3.2.1 > wreck@12.5.1 > hoek@4.2.0

За собой следить не надо :)