LINUX.ORG.RU
ФорумTalks

Набор XSS тестов

 ,


1

1

Случайно нарыл, боян конечно, но всем кто занимается веб девелопментом (фронт или бэк, не важно) - надо знать же.

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#Tests

Много боянистых вещей, которые только в гостевухах школьников работают, и есть совершенно непонятные:

<BR SIZE="&{alert('XSS')}">

которые непонятно работают ли хоть гдето 8)

Deleted

Сейчас не особо то и нужно знать, это берут на себя современные фреймворки как на беке так и на фронте.
А так конечно в наколенных поделках может что и работает, но разве преобразование кавычек и угловых скобок в html сущности не отрезает все на корню?

ritsufag ★★★★★
()
Ответ на: комментарий от ritsufag

Сейчас не особо то и нужно знать, это берут на себя современные фреймворки как на беке так и на фронте.

не берут, кроме того сами подвержены некоторым уязвимостям

Deleted
()
Ответ на: комментарий от Deleted

Не видел ни одного шаблонизатора, в котором по дефолту разрешен plain html.
Если ты отключаешь санитизацию и забываешь сам её делать то ето ССЗБ.

ritsufag ★★★★★
()

Ну открыл Еквестрию...

fornlr ★★★★★
()
Ответ на: комментарий от ritsufag

Сейчас не особо то и нужно знать, это берут на себя современные фреймворки как на беке так и на фронте.

Ага, а потом мы опять читаем новость про «украдены данные 100500 тысяч пользователей».

WARNING ★★★★
()
Ответ на: комментарий от ritsufag

Скорее эти те же люди, что в ливень/снег/гололёд топят 150+, т.к. ABS, ESP и прочие вспомогательные системы сделают за него всю работу.

WARNING ★★★★
()
Ответ на: комментарий от WARNING

А это уже как раз пользователи данного ПО.

ritsufag ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks