Addslashes() w służbie bezpieczeństwa przed XSS?… NIE!

Lut 07
2013

Mniej więcej dwa miesiące temu poinformowałem rejestratora domen 2be.pl o możliwości potencjalnego wycieku danych osobowych ich klientów z bazy danych. Dostałem wtedy po uszach, że jednocześnie opublikowałem na ten temat wpis na łamach mojego bloga, nie dając obsłudze technicznej czasu na reakcję. W tamtym okresie powiadomiłem teź Pana Administratora o poważnym błędzie XSS w ich serwisie. Co zrobili z tą informacją po dwóch miesiącach? Nic. Co zrobili po poinformowaniu o zakolejkowaniu tego wpisu? Naprawili błąd w przeciągu 24 godzin.

 

Czytaj dalszą część wpisu »

Błędy na JoeMonsterze – Bo niedopatrzenie zabija powoli

Paź 17
2012

Tytuł wpisu parafrazujący znane wszystkim motto JoeMonstera. Mogłoby się wydawać, że tak duży i popularny serwis, po kilku przejściach z bezpieczeństwem w przeszłości (a raczej jego brakiem) będzie dzisiaj wolny od trywialnych błędów. Niestety, po zalogowaniu, spędzając trochę minut na stronie znalazłem kilka „perełek”.

 

Czytaj dalszą część wpisu »

Cross-site scripting czyli atak XSS

Sty 24
2010

rakietaMimo, iż dziury wykorzystujące atak typu XSS można bardzo łatwo załatać to pojawiają się one na wielu stronach. Błąd tego typu można spotkać wszędzie tam gdzie przetwarzane i wyświetlane są dane wprowadzane przez użytkownika, jak na np. najczęstszych celach agresorów czyli księgach gości. Jak można wywnioskować XSS polega na niedostatecznym filtrowaniu danych.

Czytaj dalszą część wpisu »