Comments 8
Спасибо за статью!
0
Вопрос по XSS — большинство браузеров такие атаки успешно блокирует. Есть ли техники обхода анти-XSS механизмов браузеров?
0
Я правильно понял, что на примере с аватарой вы, по сути, атаковали собственную компанию изнутри? Я понимаю, что если писать код во всех отношениях грамотно, то подобной ситуации возникнуть не должно и все же, в данном случае это больше вопрос лояльности сотрудника, чем вопрос уязвимости кода. Вы абсолютно справедливо заметили, что главный источник безопасности — это пользователи системы, но должен быть какой-то разумный подход к внутренней безопасности, потому что безопасность и удобство являются антагонистами. :)
0
Тогда понятно, я просто отметил, что требования к безопасности системы извне и изнутри обычно бывают разные. Под правильным кодом, я как раз подразумевал то, что проверка типа файла являет необходимым условием, для безопасности. Если файл не является изображением, то он не должен приниматься системой, отвечающей за обработку графической аватары.
0
Sign up to leave a comment.
Web Security Testing Starter Kit