Wpis z mikrobloga

Skopiuj link

28.10.2015, 10:53:42

#webdev #websecurity

czy zabezpieczenie przed csrf przez token ma sens jeżeli nie zabezpieczamy się przed xss?
Dobrze myślę, ze jeżeli mogę odczytać cookies to mogę też chyba odczytać wartość pola .*token?

G.....n

konto usunięte 28.10.2015, 10:56:44 via Android

@ziolo86: Ma sens.

SmiesznyKrolik

28.10.2015, 11:04:11

@ziolo86: Ciastko powinno miec flage HTTP-ONLY

SmiesznyKrolik

28.10.2015, 11:04:41

@ziolo86: Wtedy nie dobierzesz sie do niego z poziomu JS, wiec XSS wiele nie zdziala

ziolo86

28.10.2015, 11:10:41

@SmiesznyKrolik: dzięki

SmiesznyKrolik

28.10.2015, 11:20:17

Ogolnie wszystkie te ataki sa w jakis sposob polaczone. Czasami jeden jest niemozliwy bez drugiego itp.

Kilka podstawowych zasad:
- Ciastka sesyjne powinny miec flagi HTTP-ONLY i SECURE; Nawet z XSSem nikt nieprzejmie sesji itp.
- XSS: Eskejpujemy wszystko co drukujemy dynamicznie z kodu aplikacji, bez wyjatku, najlepiej stosowac jakies wbudowane klasy frameworka w stylu Html::encode(zmienna) i tylko tak drukowac dane, bez tego latwo wpasc w pulapke. Warto tez pamietac zeby zajac