lelyakuznetsova 19 авг 2021 в 16:55

Эффективный поиск XSS-уязвимостей

21 мин

40K

Блог компании JUG Ru GroupИнформационная безопасность*JavaScript*Тестирование веб-сервисов*Конференции

+23

Комментарии 4

Protos 19 авг 2021 в 17:28

Расшифруйте кто текст ниже иными словами

Разработчику могут понадобиться параметры из URL или тела запроса. Такой тип XSS называется reflected.

Для чего разработчику вообще доступ на бой, не пойму.

phillennium 19 авг 2021 в 17:37

(судя по видео) в этом абзаце продолжается разговор про генерацию HTML-страницы по шаблону. То есть речь не о том, что разработчик грязными руками лезет куда-то в продакшн к пользователю, а о том, что разработчик при работе над шаблоном может опираться в том числе на параметры, которые берутся из URL. Но мы сейчас уточним у спикера, как правильно (и, возможно, отредактируем абзац), спасибо за вопрос.

SaintSet 19 авг 2021 в 17:43

Речь идет об этом https://www.google.ru/search?q=asdadsddddddddddddddddddddddddddddddddddddddddd

На странице будет видно "По запросу asdadsddddddddddddddddddddddddddddddddddddddddd ничего не найдено. "

gameplayer55055 20 авг 2021 в 11:10

Ещё не лишним было б упомянуть про CSP: можно сказать браузеру, что выполнять можно, а что - не стоит

Конечно, для напичканных всеми видами скриптов сайтов не очень поможет, но процентов к защите докинет

Зарегистрируйтесь на Хабре, чтобы оставить комментарий