Aktywne Wpisy
Kacaniec +17
Dejcie mi jakiegoś plusa albo słówko na otuchę, bo od godziny siedzę przed stroną internetową i od umówienia się na wizytę do psychologa celem zdiagnozowania mnie dzieli mnie jedno kliknięcie, a ja mam blokadę w głowie. xD
Nie wiem czemu jestem takim durniem, że coś, co wy robicie w sekundę, ja nie potrafię tego załatwić od ręki, tylko zwlekam miesiącami.
Nie wiem czemu jestem takim durniem, że coś, co wy robicie w sekundę, ja nie potrafię tego załatwić od ręki, tylko zwlekam miesiącami.
Jak wytłumaczyć co to jest XSS – czyli wykonanie groźnego kodu JS w obrębie naszej domeny? #od0dopentestera
Jeżeli rozmawiasz z biznesem możesz skupić się na skutkach, jakie niesie tego rodzaju podatność.
Jednym z pomysłów może być opisanie działania XSS worm, który podobnie jak wirus w normalnym świecie próbuje zarazić jak największą liczbę użytkowników.
Jak to działa?
1. Załóżmy, że na FB znajduje się podatność reflected XSS – czyli każda osoba, która kliknie w odpowiednio spreparowany odnośnik, uruchomi na swoim koncie złośliwy kod JS.
2. Jest to groźne – ale tylko dla osoby, która weszła w taki link. Musi on zostać do niej jakoś przesłany (na przykład poprzez czat) a następnie musi w niego kliknąć.
3. Jeżeli jednak mamy do czynienia z robakiem – złośliwy kod pobierze listę wszystkich kontaktów zarażonej osoby i roześle do nich samego siebie (czyli prześle do naszych znajomych złośliwy odnośnik).
4. Jeżeli znajomy kliknie w taki link od nas – zostanie zarażony, a tym samym zacznie zarażać innych.
5. W taki oto sposób podatność może się rozejść na wszystkich użytkowników platformy w szybkim czasie.
Jeżeli chciałbyś posłuchać o innych skutkach cross site scripting:
- Zobacz film na YouTube
- Przeczytaj materiał na blogu
- Posłuchaj podcastu na Spotify, Google Podcast lub Apple Podcast
Subskrybuj kanał na YouTube
Chcesz otrzymywać takie materiały na swój email? Dołącz do newslettera.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
#firma #biznes #polska #gruparatowaniapoziomu #ciekawostki #informatyka #security #programowanie #programista15k
Możesz zapisać/wypisać się klikając na nazwę listy.
! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak
Tak to jest jak się nie rozumie co się pisze
Dzięki za miłe słowa.
@Dawidi:
Materiały na wykopie publikuje z lekkim opóźnieniem.
Jeśli chcesz je widzieć wcześniej – zachęcam do subskrypcji kanału na YT.
@DOgi: są różne rodzaje XSS – Stored, Reflected, DOM Based.
Tu akurat pasował mi Reflected - dla uproszczenia tłumaczenia.
Mógłbyś wytłumaczyć dlaczego jest niepoprawna i do czego konkretnie się odnosisz?
Od 0 do pentestera – głównie do programistów. Możesz się dowiedzieć jakiś ciekawostek powiązanych z bezpieczeństwem i sprawdzić czy Twój kod jest podatny.
Podcast natomiast – do szerszego grona odbiorców.
Małe sprostowanie: OWASP nie wydaje certyfikatów.
Mam OSCP ale nie uważam, żeby w tej branży certyfikaty miały największe znaczenie.