Цікаві записи на тему веб безпеки

22:48 18.03.2011

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Blocking Alert, RSnake розповідає про блокування alert-боксів, що використовуються при тестуванні XSS уразливостей. Про те, що це не є правильним підходом і про методику, як це обмеження обійти.

Сам багато разів стикався з такими випадками, коли блокувалася функція alert (чи інші функції), при цьому XSS уразливість залишалася і атаку можна було провести через інший вектор. Тому XSS уразливості потрібно виправляти якісно, не блокуючи лише якісь окремі фрази. До речі, подібним “страждають” і WAF, які також обходяться за рахунок використання інших векторів атак ;-) .

В своєму записі Why HttpOnly won’t protect you, PDP ще в 2007 році розповів про те, чому HttpOnly кукіси не врятують від XSS атак. Технологія HttpOnly для захисту сесійних кукісів має обмежені можливості - вона захищає лише від викрадення сесійних кукісів, але не від XSS атак взагалі (а дані атаки не обмежуються лише викраденням кукісів).

Про що я багато років нагадую всім тим адмінам і веб девелоперам, які замість виправлення XSS, лише виправляють один з векторів атаки (за допомогою HttpOnly чи інших методів). А XSS уразливості потрібно виправляти якісно.

В своєму записі Micro PHP LFI Backdoor, RSnake розповідає про компактний LFI бекдор. Та про нестандартні методи проведення LFI атак (про деякі з них я вже розповідав, а про інші розповім з часом).


Leave a Reply

You must be logged in to post a comment.