Websecurity - Веб безпека

Як повідомив RSnake в своєму пості Preventing XSS Using Data Binding, існує цікавий метод протідії XSS - Data Binding. Даний метод розроблений Stefano Di Paola.

Використовуючи Data Binding можна протидіяти Cross-Site Scripting атакам. Метод передбачає використання тега plaintext. За рахунок даного тега, в який поміщуються вхідні дані, можна заборонити виконання JS-коду і тим самим не допустити XSS атаку.

Для використання даної технології є свої за і проти, про що детально написав RSnake. Але окрім нюансів не пов’язаних з безпекою, є ще один секюріті нюанс - в даному методі є уразливість. Яка дозволяє проводити XSS атаки , про що я вже писав (уразливість я виявив на сайті розробника даного методу). Дана уразливість працює в старих версіях Mozilla та Firefox (до Firefox 2.0), але в нових браузерах цей метод працює добре.

This entry was posted on 22:43 12.05.2009 and is filed under Новини сайту. You can follow any responses to this entry through the RSS 2.0 feed.