Как стать автором
Обновить
38
0
Валерий Комаров @ValeryKomarov

User

Его я тоже рассматривал как один из вариантов для изучения в дальнейшем.

Я как раз рассматривал nashorn одним из следующих проектов для изучения.

Мне почему-то помнилось когда писал, что Kotlin транспилируется в Java как и в JavaScript. Спасибо что напомнили что это не так. В будущем не допущу такой ошибки)

Не очень понял, что вас смутило, но все опубликовано там где нужно.

Спасибо за ссылку на проект для проверки. Если он нас заинтересует, то одна из следующих статей будет посвещена его проверке.

Да, сейчас такой возомжности нет. Думаю ваш запрос удвовлетворит плагин PVS-Studio for CLion. CLion имеет интеграцию с CMake проектами, а также его возможно использовать на Windows.

Рады стараться для вас.

Я понимаю, что многие современные приложения уже не используют webforms / aspx, однако все еще остались веб-приложения или сайты, в которых все еще используется webforms / aspx. И те кто будет их дорабатывать или переписывать могут не знать о возможности защиты от XSS при помощи возможностей данного фреймворка. Поэтому я и решил упомянуть об этом.

Замечание насчет React / Vue: некорректное использование их компонентов или просто наличие уязвимостей в данных фреймворках (которые просто еще не заметили и не исправили) могут все еще привести к появлению XSS уязвимостей. Не обязательно что уязвимости будут иметься в самих фреймворках, возможно сочетание данных фреймсворков с другими технологиями может привести к XSS уязвимостям. Поэтому даже грамотное испольщзование этих фреймворков модет привести к XSS уязвимости при интеграции с другой технологией.

Да, забыл. В русской версии страницы об XSS на википедии оно не упомяналось.
Почитал об этом виде XSS пару статей. И правда этот вид XSS является самым неуловимым, а поэтому и самым интересным для дальнейшего его изучения. В будущем буду более тщательно искать информацию, чтобы не упустить подобных интересных фактов.

Спасибо за информацию. Постараюсь не забыть об IP-адресе, если буду разрабатывать веб-приложение, использующее подобные токены. А насет защиты от XSS, то возможно в этом случае проверка IP-адреса и поможет, однако в статье приводится простейший пример XSS уязвимости. В других же случаях проверка IP- адреса может не помочь защититься от XSS.

1. Подробно в этом вовпросе не разбирались, но желание сделать это есть. В будущем когда будет возможность изучим этот вопрос и может даже отдельную статью об этом напишем.
В данный момент надо было пофиксить этот недостаток V3083, поэтому просто исправили и получили профит.
2. Был изменен алгоритм. До этого всегда вначале собирались все вызовы евента и только после оценивалось корректность каждого вызова. Сейчас же отталкиваемся от каждого отдельного вызова евента.
assert бросит AssertionError в случае, если bitShiftsInWord будет отрицательным. При рассматриваемых входных данных (wordShifts = 3 и bitShiftsInWord = 0) assert промолчит, т.к. 0 >= 0 true =)
Если проект заинтересует, то следующая статья может быть и про анализ Mirth (NextGen) Connect.
На данный момент такой диагностики нет, но в будущем может появится, так как мы анализируем исходники, а не .class файлы.

Информация

В рейтинге
Не участвует
Работает в
Дата рождения
Зарегистрирован
Активность