С данной темой доклада я выступал на CodeFest. А здесь я перескажу словами, что, как и зачем.
Доклад довольно поверхностный и не требует практически никакой квалификации в области ИБ. Был рассчитан на целевую аудиторию (веб-разработчики, тестировщики (не на проникновение), сисадмины и т.д.). Все довольно просто: несколько утилит, запустили, подождали, разбираем отчет.
Столкнулся с очень странным и очень неправильным, на мой взгляд, поведением браузера Chrome.
Сегодня, 8 марта, как никогда много используются различные поздравительные картинки, которые в свою очередь берутся с ряда сайтов-помоек с такого рода картинками. Например animashka.info и иже с ней.
Люди копируют оттуда код для вставки и используют его на форумах и в блогах.
А далее происходит следующее: на хостинге картинок появляется js-троян, и он попадает в чёрный список, по которому все нормальные браузеры блокируют доступ к этому сайту. И Chrome, и Firefox, и это правильно.
Но Chrome пошёл ещё дальше. Он блокирует и те страницы форумов и блогов, на которых просто напросто вставлены коды картинок, т.е. всего лишь теги IMG.