Комментарии 9
Опять хсс…
https://youtu.be/FGBhQbmPwH8
P.S. Было бы прикольно, если бы пейлоад в заголовке сработал)
+1
в 2021 xss? серьезно? мне кажется после CORS это и новой политикой работы с куками это бессмысленно
+1
Забыли вариант с выходом из script. Про него часто забывают. Пример уязвимого кода ниже:
Парсер немного ест коммент, полагаю суть ясна. Пример выхода надеюсь никому не нужен )
let data = '<?php echo addslashes($_GET['data']) ?>';
</scri pt>
Парсер немного ест коммент, полагаю суть ясна. Пример выхода надеюсь никому не нужен )
+1
Все $_GET['data'] надо заменить на getvar('data'), а в функции фильтровать ввод.
А еще есть практика secure development, когда делается прослойка между между серверной программой и браузером. Эта прослойка всё фильтрует и хранит коннекты к базе данных. Такая прослойка есть например на azure. Можно писать любой код и не боятся никаких инъекций.
А еще есть практика secure development, когда делается прослойка между между серверной программой и браузером. Эта прослойка всё фильтрует и хранит коннекты к базе данных. Такая прослойка есть например на azure. Можно писать любой код и не боятся никаких инъекций.
0
Оъясните мне пожалуйста. Как этот код может вдруг появится в index.html файла на вебсервере ?
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Хранимые, отображаемые и DOM-based XSS: выявление и блокирование