Pull to refresh
25
Karma
6
Rating
Valery Komarov @ValeryKomarov

User

  • Followers 2
  • Following

XSS: атака и защита с точки зрения C# программирования

Я понимаю, что многие современные приложения уже не используют webforms / aspx, однако все еще остались веб-приложения или сайты, в которых все еще используется webforms / aspx. И те кто будет их дорабатывать или переписывать могут не знать о возможности защиты от XSS при помощи возможностей данного фреймворка. Поэтому я и решил упомянуть об этом.

Замечание насчет React / Vue: некорректное использование их компонентов или просто наличие уязвимостей в данных фреймворках (которые просто еще не заметили и не исправили) могут все еще привести к появлению XSS уязвимостей. Не обязательно что уязвимости будут иметься в самих фреймворках, возможно сочетание данных фреймсворков с другими технологиями может привести к XSS уязвимостям. Поэтому даже грамотное испольщзование этих фреймворков модет привести к XSS уязвимости при интеграции с другой технологией.

XSS: атака и защита с точки зрения C# программирования

Да, забыл. В русской версии страницы об XSS на википедии оно не упомяналось.
Почитал об этом виде XSS пару статей. И правда этот вид XSS является самым неуловимым, а поэтому и самым интересным для дальнейшего его изучения. В будущем буду более тщательно искать информацию, чтобы не упустить подобных интересных фактов.

XSS: атака и защита с точки зрения C# программирования

Спасибо за информацию. Постараюсь не забыть об IP-адресе, если буду разрабатывать веб-приложение, использующее подобные токены. А насет защиты от XSS, то возможно в этом случае проверка IP-адреса и поможет, однако в статье приводится простейший пример XSS уязвимости. В других же случаях проверка IP- адреса может не помочь защититься от XSS.

Roslyn API, или из-за чего PVS-Studio очень долго проект анализировал

1. Подробно в этом вовпросе не разбирались, но желание сделать это есть. В будущем когда будет возможность изучим этот вопрос и может даже отдельную статью об этом напишем.
В данный момент надо было пофиксить этот недостаток V3083, поэтому просто исправили и получили профит.
2. Был изменен алгоритм. До этого всегда вначале собирались все вызовы евента и только после оценивалось корректность каждого вызова. Сейчас же отталкиваемся от каждого отдельного вызова евента.

Топ 10 ошибок в проектах Java за 2019 год

assert бросит AssertionError в случае, если bitShiftsInWord будет отрицательным. При рассматриваемых входных данных (wordShifts = 3 и bitShiftsInWord = 0) assert промолчит, т.к. 0 >= 0 true =)

Анализ исходного кода RPC фреймворка Apache Dubbo статическим анализатором PVS-Studio

Если проект заинтересует, то следующая статья может быть и про анализ Mirth (NextGen) Connect.

Анализ исходного кода RPC фреймворка Apache Dubbo статическим анализатором PVS-Studio

На данный момент такой диагностики нет, но в будущем может появится, так как мы анализируем исходники, а не .class файлы.

Information

Rating
588-th
Works in
Date of birth
Registered
Activity