
XSS nadal groźny: jak front-end może wpuścić złośliwy kod
TheCommitLineSpecjalista
4piorunówSanityzacja. Temat stary jak web, a XSS… nadal zbiera swoje żniwo.
Niby walidujemy inputy.
Niby framework „coś tam” zabezpiecza.
Niby wiemy, że innerHTML to zło.
A jednak XSS wciąż się zdarza - i to częściej niż chcielibyśmy przyznać.
W najnowszym wpisie rozkładam XSS na czynniki pierwsze:
czym naprawdę* jest Cross-Site Scripting,
jakie są rodzaje XSS* i dlaczego stored jest najgroźniejszy,
* dlaczego sama sanityzacja to za mało,
* gdzie kod wygląda niewinnie (setAttribute, href, src), a otwiera drzwi atakowi,
* i czemu architektura aplikacji potrafi być lepszą obroną niż kolejny regex.
To wpis o rutynie, o fałszywym poczuciu bezpieczeństwa i o tym, dlaczego warto śledzić realne ataki, a nie tylko checklisty z OWASP.
Jeśli piszesz aplikacje webowe i myślisz „mnie to nie dotyczy” - tym bardziej warto przeczytać.
Całość: https://thecommitline.substack.com/p/xss-nadal-grozny-jak-front-end-moze
Komentarze (2)
Ehh nie lubię takich artykułów bo niby warto przeczytać a jak przeczytasz to się okazuje, że już to wszystko wiedziałeś, to są same podstawy albo jakieś ogólniki. Ale niech będzie, zostawię sobie zakładkę otwartą i przeczytam potem xd.
@Catharsis totalnie to znam i rozumiem, chodzę na wiele szkoleń i w większości przypadków jest taki niesmak, że "znowu to samo", ale potem czytam komentarze czy wypowiedzi innych ludzi, w których widzę "dzięki za super szkolenie" albo "bardzo wartościowa wiedza" i mam mind-fuck :grinning: