Comments 10
Да уж. Ладно еще может не все понимают, как XSS работает. Но про SQLI уже все слышали, знают чем опасно, и ничего сложного-то в защите нет. Все равно продолжают писать с уязвимостями.
К сожалению, огромное количество приложений были написаны ещё до появления современных фреймворков.
Кроме того, часто код пишется в спешке, и даже при использовании современных фреймворков не редки ситуации использования конкатенации запросов в неожиданных местах (при том, что в целом код написан грамотно).
Кроме того, часто код пишется в спешке, и даже при использовании современных фреймворков не редки ситуации использования конкатенации запросов в неожиданных местах (при том, что в целом код написан грамотно).
Да ладно, XSS это уже не просто когда в гет параметр подставили ""
Есть большое множество сложных кейсов, посмотрите врайтапы XSS уязвимостей на том же гугле, например.
На вскидку — blog.bentkowski.info/2015/04/xss-via-host-header-cse.html
Или другие из блога.
А сколько сложных кейсов с DOM XSS.
Есть большое множество сложных кейсов, посмотрите врайтапы XSS уязвимостей на том же гугле, например.
На вскидку — blog.bentkowski.info/2015/04/xss-via-host-header-cse.html
Или другие из блога.
А сколько сложных кейсов с DOM XSS.
Да это все цветочки. Я когда узнал про атаку методом оракула при включенном gzip шифровании на сервере, понял что такое паранойя
Очепятка — «и ISS (24%).»
А можно расписать для чайников, какие уязвимости в веб-приложениях попадают под категорию «Fingerprinting»? Если в заголовках ответа есть «Server: nginx» или там jquery.js подключается прям с таким именем и там реально внутри jquery, то это считается уязвимостью и участвует в статистике?
Каждое веб-приложение на PHP в среднем содержит 11 критически опасных уязвимостей.
Пожалуй сделаю из этого стикер :)
Может быть мой монитор не очень передает контраст, но на последней картинке синий-темнее и синий-светлее сложноразличимы.
Sign up to leave a comment.
Уязвимости веб-приложений: ситуация не улучшается