>Если коротко — чем меньше надо думать, тем мне скучнее. Вам на оборот?
понял вас. с этим согласен. csrf легко искать но тут смотря что — искать скучно но сама уязвимость не скучная =)
Начет перевода пользовательского контента — тема стара и есть масса механизмов для фильтрации. Если разраб не начнет делать велосипед то все будет фильтроваться. Искать XSS весело, развлекательно, но если на сайте нет CSRF то его НЕТ. На хероку отличная защита от csrf по токена. Но, опля, очередная рельс badpractise и куча дырок из за match.
Но это значит, что относиться к XSS как к «этой старой скучной атаке» не стоит. CSRF в крупном ресурсе может найти любой школьник. XSS — далеко не любой. XSS меньше, они опаснее, искать их интереснее. Часто нужно именно обходить защиту, а не банально радоваться тому, что разработчик забыл ее сделать.
ну что за ересь а?! уэлл, в рельсах фильтрация safe_buffer стоит по умолчанию. берите тестите хоть самые укромные места. и так на всех нормальных ресурсах — фильтрация не выборочная а по умолчанию на весь аутпут юзерского инпута. (опять таки, если разраб не мудак)
поэтому можно даже так перефразировать ваше заявление
много пользователей имеют пароль 123123 и qweqwe и это намного опасней чем всякие взломы. Да, встречается редко, но это же так прикольно тратить время с попыткой угадать пароль.
Атаки совершенно РАЗНЫЕ. защититься от XSS в разы проще чем от CSRF на практике. Ну зачем путать и делать ложные аналогии?
> и в 3 раза реже встречается, чем CSRF
бред. приглашаю тестить алексу 1000. XSS фильтрация настолько распиарена что только полный мудак про неё может забыть, извиняюсь за выражение(та жехрень с sql inject). Чего не скажешь про CSRF который до сих пор чертовски распространен.
началась консервативная белеберда со стандартными аргументами, отмазами, все это уже тыщу раз слышал.
а ты попробуй face it подумаю сколько уязвимо, что уже с 2001 года этим страдают такими вот csrf припадками — и попробуй найти другое решение. я не настаиваю на своем решении, я настаиваю на РЕШЕНИИ чтобы пхп новичок пишущий новый стартап вконтакте был защищен. все просто. я говорю что хочу получить а не как это должно быть реализовано, если честно.
bitbucket.org/homakov
Followers (75)
час назад было ноль. я им вообще не пользовался.
хотя очевидно не 1-1. но хочется к гитхабу подлизаться =) что они бяки какие.
понял вас. с этим согласен. csrf легко искать но тут смотря что — искать скучно но сама уязвимость не скучная =)
Начет перевода пользовательского контента — тема стара и есть масса механизмов для фильтрации. Если разраб не начнет делать велосипед то все будет фильтроваться. Искать XSS весело, развлекательно, но если на сайте нет CSRF то его НЕТ. На хероку отличная защита от csrf по токена. Но, опля, очередная рельс badpractise и куча дырок из за match.
ну что за ересь а?! уэлл, в рельсах фильтрация safe_buffer стоит по умолчанию. берите тестите хоть самые укромные места. и так на всех нормальных ресурсах — фильтрация не выборочная а по умолчанию на весь аутпут юзерского инпута. (опять таки, если разраб не мудак)
поэтому можно даже так перефразировать ваше заявление
много пользователей имеют пароль 123123 и qweqwe и это намного опасней чем всякие взломы. Да, встречается редко, но это же так прикольно тратить время с попыткой угадать пароль.
Атаки совершенно РАЗНЫЕ. защититься от XSS в разы проще чем от CSRF на практике. Ну зачем путать и делать ложные аналогии?
бред. приглашаю тестить алексу 1000. XSS фильтрация настолько распиарена что только полный мудак про неё может забыть, извиняюсь за выражение(та жехрень с sql inject). Чего не скажешь про CSRF который до сих пор чертовски распространен.
а ты попробуй face it подумаю сколько уязвимо, что уже с 2001 года этим страдают такими вот csrf припадками — и попробуй найти другое решение. я не настаиваю на своем решении, я настаиваю на РЕШЕНИИ чтобы пхп новичок пишущий новый стартап вконтакте был защищен. все просто. я говорю что хочу получить а не как это должно быть реализовано, если честно.
Followers (75)
час назад было ноль. я им вообще не пользовался.
хотя очевидно не 1-1. но хочется к гитхабу подлизаться =) что они бяки какие.