Твит

Твит

Любой начинающий веб-мастер или веб-программист просто обязан знать какие существую уязвимости в веб приложения, какую угрозу они могут представлять для конкретного сайте и всего сервера. А также на что нужно обращать внимание при написании кода, т. к. в сети интернет очень много баговых примеров, слепой копипаст которых приводит к серьезным проблемам.
Платформа bWAPP содержит в себе большое количество веб уязвимостей, которые входят в топ 10 OWASP.
Более того есть уровень high в котором показано как фиксить те или иные баги.

Твит

Что такое плагиат и насколько негативно он влияет на сайт источник, думаю все знают.
Существует много способов защиты сайта от копипаста.
Если рассматривать защиту программно, то это небольшой javascript, который добавляет к скопированному тексту ссылку на источник.
Однако и здесь все не так гладко, большая часть таких скриптов содержать XSS уязвимость.
Причем такие JS используются на достаточно популярных сайтах.
Поэтому следует очень внимательно подходить к выбору той или иной защиты контента, учитывая подводные камни, которые могут появиться в следствии этой защиты.
О том, как проверить наличие бажного скрипта на сайте и соответственно пофиксить, можно узнать в посте.
В конце поста можно скачать корректный JS для защиты от копирования, как для простого сайта, так и WordPress.

Твит

Что такое плагиат и насколько негативно он влияет на сайт источник, думаю все знают.
Существует много способов защиты сайта от копипаста.
Если рассматривать защиту программно, то это небольшой javascript, который добавляет к скопированному тексту ссылку на источник.
Однако и здесь все не так гладко, большая часть таких скриптов содержать XSS уязвимость.
Причем такие JS используются на достаточно популярных сайтах.
Поэтому следует очень внимательно подходить к выбору той или иной защиты контента, учитывая подводные камни, которые могут появиться в следствии этой защиты.
О том, как проверить наличие бажного скрипта на сайте и соответственно пофиксить, можно узнать в посте.
В конце поста можно скачать корректный JS для защиты от копирования, как для простого сайта, так и WordPress.

Твит

Что такое плагиат и насколько негативно он влияет на сайт источник, думаю все знают.
Существует несколько способов защиты сайта от копипаста.
Если рассматривать защиту программно, то это небольшой javascript, который добавляет к скопированному тексту ссылку на источник.
Однако и здесь все не так гладко, большая часть таких скриптов содержать XSS уязвимость.
Причем такие скрипты используются на достаточно популярных сайтах.
О том, как проверить наличие бажного скрипта на сайте и соответственно пофиксить, можно узнать в посте.

Твит

Большая часть флэш приложений, в частности сайтов, совершенно безразлично относятся к тому откуда загружаются xml, txt и другие файлы. Что в свою очередь позволяет загружать конфигурационные файлы с других доменов вызывая XSS.
Популярные Flash приложения тоже не стоят в стороне, подставляя под XSS атаки своих клиентов.
В комментариях к посту есть пример некорректного Flash приложения, которое используется на многих сайтах.

Твит

Иногда блоггеры для улучшения поведенческих фактором размещают на своих сайтах Flash игры. Огромное количество Flash приложений подвержено XSS уязвимостям и флеш игры не составляют исключение.
Да что там говорить, даже Flash баннеры таких известных компаний как Yandex, Yahoo и многие другие имеют XSS уязвимости в ClickTAG. Это можно увидеть на рисунке к этому посту.
В статье я продолжаю описание CSF во флеш приложениях. Также рассмотрен фикс для закрытия бага в ClickTAG, который жестко фильтрует данные получаемые из FlashVar.
В заключении статьи мое скромное Flash приложение игра лабиринт, в которой тоже был обнаружен баг. Также есть возможность скачать бажный swf исходник и потестить.

Твит

Большое количество Flash приложений (баннеров, игр) подвержено XSS уязвимостям. Откуда растут ноги для XSS в флеш я уже писал, но кроме метода getURL(), существует еще 12 методов которые используют флеш программисты, причем очень часто не совсем корректно.
На днях я протестировал несколько популярных веб сайтов, и в 50% случаев рекламные флеш баннеры позволили провести XSS атаку.
Какие инструменты нужны для декомпилирования Flash баннеров и поиска уязвимостей, а также описание первого уязвимого метода getURL() смотрите в статье.