Web Security: Are You Part Of The Problem?

Török Gábor · 2010. Jan. 21. (Cs), 07.00

Nagyszerű cikk a biztonságról

■

biztonság

via @Poetro

Török Gábor · 2010. Jan. 21. (Cs), 07.04

via @Poetro

A hozzászóláshoz regisztráció és belépés szükséges
új téma

a szerzőnek láthatólag fogalma sincs róla, mi az a path traversal (a weboldaltól független fájlok, pl. a /etc/passwd elérése ../ és hasonló trükkök használatával, ha a weboldal egy request paraméterként kapott útvonal alapján tölt be egy fájlt), és a CSRF-et se érti igazán. (Vagy én nem értem, hogy mit jelent az, hogy "You could even use ... a script on another server to do the POST request from the back-end." A CSRF lényege pont az, hogy a te gépedről megy el a request, ezért a süti-alapú biztonsági modell nem tudja megkülönböztetni a valóban általad kezdeményezett requestektől.)

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Script

Poetro · 2010. Jan. 26. (K), 13.19

A script az oldalba van beágyazva, de egy távoli szerverről van betöltve, mivel a böngészők egyenlőre nem tesznek igazán különbséget a script forrását tekintve - ez remélhetőleg változik a HTML5 vagy az ezt övező technológiák bevezetésével. És a te böngésződ küldi el az üzenetet AJAX POST vagy bármilyen hasonló módon, úgy, hogy ugye hozzáfér a sütijeidhez.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Ennek XSS-nél van értelme, de

tgr · 2010. Jan. 26. (K), 19.41

Ennek XSS-nél van értelme, de CSRF-nél nincs, mert azt eleve a támadó kontrollja alatt álló honlapról indítják, ahol olyan formában ágyazza be a scriptet, amilyenben kedve tartja. Ráadásul a cikk a backendről indított POST-ról beszél, ha jól értem, aminek meg aztán végképp nincs sok értelme.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Friss blogmarkok

Web Akadálymentesítési Útmutató (WCAG) 2.1 – nyilvános munkaterv – Megjelent a WCAG (Web Akadálymentesítési Útmutató) 2.1 nyilvános munkaterv (0)
MongoDB Apocalypse Is Here as Ransom Attacks Hit 10,000 Servers – Több tízezer védtelen MongoDB szerverre csaptak le hackerek (2)
12 Signs You’re Working in a Feature Factory – A cél nélküli funkciógyártás néhány tünete (0)
Translatable, custom dates in Twig templates of Drupal 8 – Saját dátumok megjelenítése, fordíthatóan a Drupal 8 smink rétegével dolgozva (0)
NativeScript – Cross-Platform Native Development with Javascript – Fejlesszünk natív mobilalkalmazást JavaScripttel (0)
GitHub Security Update: Reused password attack – Érdemes bekapcsolni a kétfaktoros azonosítást, ha a GitHub jelszavunkat más oldalakon is újra felhasználtuk (17)
UX Design könyv – Hogyan tervezz felhasználóbarát és szerethető alkalmazásokat? (0)
Introducing unlimited private repositories – Megváltozik a GitHub díjszabása: minden előfizetéshez korlátlan számú privát repository jár (0)
Drupal 8 Twig: add custom CSS classes to menus (based on menu name) – Saját elképzeléseink szerinti CSS osztályok (automatizált) hozzáadása a Drupal 8 menüihez (0)

tovább»

november 2024
H	K	Sze	Cs	P	Szo	V
28	29	30	31	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	1

november 2024

Sze

Szo

Weblabor

Keresés