Комментарии 42
Если что-то в chrome может мешать разработчиком, обязательно есть флаг, чтобы это отключить.
+9
>>гугл использует свой браузер для сбора инфы — так что тут палка о двух концах.
Я думаю, не такой уж и серьёзный недостаток: фольга нынче дешёвая.
Я думаю, не такой уж и серьёзный недостаток: фольга нынче дешёвая.
+33
А вот защищать себя от XSS вполне получится, но стоит помнить, что гугл использует свой браузер для сбора инфы — так что тут палка о двух концах.
Use Chromium, Luke.
+3
НЛО прилетело и опубликовало эту надпись здесь
В IE фильтр XSS лучше всех пока-что
+1
НЛО прилетело и опубликовало эту надпись здесь
Так хром и того больше пропускает 8)
-1
Ну если реального примера мало, вот еще почитайте — www.adambarth.com/papers/2010/bates-barth-jackson.pdf
+2
О е… опытные XXСеры и знатоки фильтров минусуют )
Ну вот пример:
testasp.vulnweb.com/search.asp?tfSearch=%3Cscript%3E//&tfSearch=%0A//&tfSearch=%0aalert(1);%20var%20x=[''&tfSearch=''];%3C/script%3E
Сравните в Хроме и в ИЕ. Хакиры…
Ну вот пример:
testasp.vulnweb.com/search.asp?tfSearch=%3Cscript%3E//&tfSearch=%0A//&tfSearch=%0aalert(1);%20var%20x=[''&tfSearch=''];%3C/script%3E
Сравните в Хроме и в ИЕ. Хакиры…
+5
НЛО прилетело и опубликовало эту надпись здесь
А вот защищать себя от XSS вполне получится, но стоит помнить, что гугл использует свой браузер для сбора инфы — так что тут палка о двух концах.
По-моему сбор данных Chrmium'a не касается, а XSS Auditor там есть.
+2
Не знаю насчет текущей ситуации, но: habrahabr.ru/post/101396/
0
Итак, стал проверять всевозможные варианты внедрения кода — но без результата
За ссылку спс, будем тестить новые варианты.
0
А на самом деле смысл статьи был пропиарить сайт с котами . Какой хитрый трюк однако.)
+4
Google использует интернет для сбора информации. Используй ссылочный FIDOnet, %username%.
+6
а так нельзя было обойти?
a = 'http://first' a+='second.co'; a+= 'm' или как он вырезает?
a = 'http://first' a+='second.co'; a+= 'm' или как он вырезает?
0
НЛО прилетело и опубликовало эту надпись здесь
Согласен, «не новость» для тех, кто держит руку на пульсе, но так как я отслеживаю узкое направление связанное скорее с безопасностью кода, то был просто удивлен, что браузеры взялись за борьбу с XSS — считал, что это должны делать разработчики на уровне кода.
0
А в каких случаях необходимо js код получать в ответах от сервера? Просто интересно, действительно ли возникает такая необходимость или это просто привычка девов к говнокоду?
0
НЛО прилетело и опубликовало эту надпись здесь
Потому что браузер один из инструментов. Нужно выполнить внедренный JS, чтобы подтвердить возможность XSS и легче всего это сделать в браузере. Кстати, а можно ли это сделать из консоли?
А не помощник потому, что мешает мне выполнить мою работу. Да, этот Auditor был добавлен больше 10 релизов назад, но гугление на эту тему дало очень мало результатов и я считаю полезным осветить эту тему. Я потерял много времени пытаясь выяснить причину и хочу помочь другим не повторять мои ошибки.
А не помощник потому, что мешает мне выполнить мою работу. Да, этот Auditor был добавлен больше 10 релизов назад, но гугление на эту тему дало очень мало результатов и я считаю полезным осветить эту тему. Я потерял много времени пытаясь выяснить причину и хочу помочь другим не повторять мои ошибки.
+1
Google Chrome 19 теперь пропускает XSS. Ещё одно подтверждение того, что не стоит полагаться на защиту бразуера, а нужно делать нормальный код.
Кто-нибудь в курсе с чем связано такое изменение? Это случайность или закономерность?
Кто-нибудь в курсе с чем связано такое изменение? Это случайность или закономерность?
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Google Chrome хакеру не помощник