4lemon 28 фев 2019 в 10:59

Web Security Testing Starter Kit

12 мин

22K

Блог компании SemrushИнформационная безопасность*Тестирование веб-сервисов*

+24

Комментарии 8

Lenny_The_Rabbit 28 фев 2019 в 12:12

Спасибо за статью!

4lemon 28 фев 2019 в 12:55

Да не за что:)

ARG89 28 фев 2019 в 16:46

Нет, за статью!:)

-1

EminH 1 мар 2019 в 17:22

Вопрос по XSS — большинство браузеров такие атаки успешно блокирует. Есть ли техники обхода анти-XSS механизмов браузеров?

4lemon 1 мар 2019 в 19:32

В общем случае — есть. В частности — зависит от версии и типа браузера. XSS Auditor bypass поищите в поисковике — статей много.

javs 1 мар 2019 в 19:33

Я правильно понял, что на примере с аватарой вы, по сути, атаковали собственную компанию изнутри? Я понимаю, что если писать код во всех отношениях грамотно, то подобной ситуации возникнуть не должно и все же, в данном случае это больше вопрос лояльности сотрудника, чем вопрос уязвимости кода. Вы абсолютно справедливо заметили, что главный источник безопасности — это пользователи системы, но должен быть какой-то разумный подход к внутренней безопасности, потому что безопасность и удобство являются антагонистами. :)

4lemon 1 мар 2019 в 19:34

В данном случает — это учебный стенд для сотрудников, на котором мы и показываем как работает эта уязвимость. Он изолирован от основной инфраструктуры. Но да, на нём мы и показываем, что «вот если такое будет в реальном веб-приложении, то через этот сервер можно попасть вот сюда и сюда и сюда».

javs 1 мар 2019 в 23:26

Тогда понятно, я просто отметил, что требования к безопасности системы извне и изнутри обычно бывают разные. Под правильным кодом, я как раз подразумевал то, что проверка типа файла являет необходимым условием, для безопасности. Если файл не является изображением, то он не должен приниматься системой, отвечающей за обработку графической аватары.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий