XSS набирає обертів

14:54 02.10.2006

Як повідомляє www.cgisecurity.com, нещодавно розгорілася дискусія з приводу XSS уразливостей на сайтах секюріти компаній (і до цього я дізнався про цю новину на сайті ha.ckers.org, на форумі якого й почалася дискусія з цього приводу).

Компанії F5 та Acunetix незалежно одна від одної знайшли XSS уразливості на сайті свого конкурента. І після того як були зроблені відповідні заяви зі сторони кожної з них, компанії почали заперечувати наявність уразливостей на їх сайтах :-) . Осиболиво це почала робити Acunetix - мовляв ми ж секюріті компанія, які ж у нас можуть бути уразливості, ми ж сканер безпеки випускаємо і скануємо ним всі власні сайті (і з цього ж можна зробити висновок про якість їхнього сканера).

Якщо F5 не сильно відрікалася, сказала лише що це була не повноцінна XSS, а лише html ін’єкція (що заперечують ті хто бачив в роботі цю уразливість), і вони вже її пофіксили, то Acunetix взагалі заперечує що будь-які уразливості мали місце. Після цього користувачі сайта ha.ckers.org (зокрема його форума - sla.ckers.org/forum/) знайши чимало уразливостей на сайтах цих компаній, в тому числі надали скріншоти, щоб ті не росказували, що дір не було (після того як пофіксять).

Одним словом дискусія з приводу XSS на сайтах секюріти компаній розгорілася серйозна.

Головний висновок, який повинні зробиити компанії, які працюїть в області безпеки (та й взагалі всі фізичні та юридичні особи в цій обласі), це те, що у випадку, коли були знайдені і розголошені уразливості на їх сайтах, то не треба це заперечувати, треба лише підвердити, пофіксити і рухатися далі.

Я до речі також згадував про випадки уразливостей на сайтах секюріти компаній (в записі Безпека сайтів про безпеку) і планую регулярно згадувати про подібні випадки.


Leave a Reply

You must be logged in to post a comment.