Hejto.pl
Dodaj post

Wpisz coś do wyszukania (minimum 2 znaki)

XSS nadal groźny: jak front-end może wpuścić złośliwy kod

Specjalista

w Programowanie

4piorunów

Sanityzacja. Temat stary jak web, a XSS… nadal zbiera swoje żniwo.

Niby walidujemy inputy.
Niby framework „coś tam” zabezpiecza.
Niby wiemy, że innerHTML to zło.


A jednak XSS wciąż się zdarza - i to częściej niż chcielibyśmy przyznać.

W najnowszym wpisie rozkładam XSS na czynniki pierwsze:

czym naprawdę* jest Cross-Site Scripting,

jakie są rodzaje XSS* i dlaczego stored jest najgroźniejszy,

* dlaczego sama sanityzacja to za mało,

* gdzie kod wygląda niewinnie (setAttribute, href, src), a otwiera drzwi atakowi,

* i czemu architektura aplikacji potrafi być lepszą obroną niż kolejny regex.

To wpis o rutynie, o fałszywym poczuciu bezpieczeństwa i o tym, dlaczego warto śledzić realne ataki, a nie tylko checklisty z OWASP.

Jeśli piszesz aplikacje webowe i myślisz „mnie to nie dotyczy” - tym bardziej warto przeczytać.

Całość: https://thecommitline.substack.com/p/xss-nadal-grozny-jak-front-end-moze

Komentarze (2)

Osobistość0piorunów

Ehh nie lubię takich artykułów bo niby warto przeczytać a jak przeczytasz to się okazuje, że już to wszystko wiedziałeś, to są same podstawy albo jakieś ogólniki. Ale niech będzie, zostawię sobie zakładkę otwartą i przeczytam potem xd.

Specjalista0piorunów

@Catharsis totalnie to znam i rozumiem, chodzę na wiele szkoleń i w większości przypadków jest taki niesmak, że "znowu to samo", ale potem czytam komentarze czy wypowiedzi innych ludzi, w których widzę "dzięki za super szkolenie" albo "bardzo wartościowa wiedza" i mam mind-fuck :grinning: