Лучшие статьи и кейсы стартапов
Включить уведомления
Дадим сигнал, когда появится
что-то суперстоящее.
Спасибо, не надо
Главное Свежее   Проекты

Dmitriy Nikiforov

Подписаться Написать
7 ноя 2015 в 17:27
Подробная информация
Комментарии
0
"Cross Site Scripting"
Специфика подобных атак заключается в контроле параметров, передаваемые в GET."

Я формирую файл который содержит в себе XSS код, заливаю его на сайт и XSS отрабатывает, вопрос, где тут GET? На самом деле, существуют различные техники и возможности провести XSS, даже XSS отличаются по своей сути. Если упростить, они могут быть как хранимые так и отражённые.

"Для того, чтобы обезопасить себя от данного типа атак - необходимо фильтровать все данные, вводимые пользователями на предмет возможных скриптов."

Эта тема намного сложней, существуют десятки методик обхода фильтраций. Как минимум я бы посоветовал, убедится что куки у вас httponly это не даст возможность похитить сессию.

"Мы вам расскажем о найболее распространенных уязвимостях"
С каких пор DoS и DDoS Атаки стали уязвимостями ?

"Information Leakage
Как бороться ?"

Существует некий абстрактный администратор, который делает бекапы в директорию бекап, эта директория доступна из вне, внимание вопрос знатокам, как вы будете с этим бороться?

Существует абстрактный проект на котором есть возможность перебрать id пользователей и получить все их приватные данные, это как уязвимость перебора id так и information leakege, как тут поможет DLP например?

В целом все что описано очень спорно, у меня вызывает сомнение в том что это писали люди которые знакомы с тематикой security. Существует другой более авторитетный источник "найболее распространенных уязвимостях" OWASP TOP TEN и замете что там нет DoDS так как это не уязвимость.
21 Июля 2015