Comments 8
Спасибо за статью!
Вопрос по XSS — большинство браузеров такие атаки успешно блокирует. Есть ли техники обхода анти-XSS механизмов браузеров?
Я правильно понял, что на примере с аватарой вы, по сути, атаковали собственную компанию изнутри? Я понимаю, что если писать код во всех отношениях грамотно, то подобной ситуации возникнуть не должно и все же, в данном случае это больше вопрос лояльности сотрудника, чем вопрос уязвимости кода. Вы абсолютно справедливо заметили, что главный источник безопасности — это пользователи системы, но должен быть какой-то разумный подход к внутренней безопасности, потому что безопасность и удобство являются антагонистами. :)
Тогда понятно, я просто отметил, что требования к безопасности системы извне и изнутри обычно бывают разные. Под правильным кодом, я как раз подразумевал то, что проверка типа файла являет необходимым условием, для безопасности. Если файл не является изображением, то он не должен приниматься системой, отвечающей за обработку графической аватары.
Sign up to leave a comment.
Web Security Testing Starter Kit