Odpovědět na komentář
XSS cheat sheet
24. 02. 2009
Zkontrolujte si web, jestli v něm nemáte nejznámější bezpečnostní díry...
Od doby, kdy jsem na loňském WebExpu viděl prezentaci Rasti Turka na téma "Zranitelnost a clickjacking" nevěřím už žádnému webu. :) Když se před lety začalo o XSS hovořit, říkal jsem si: "Proboha, co by mi mohl asi tak JavaScript udělat, he?" No, mohl... Od nevinných žertíků typu "změny hesla" a "zapnutí webkamery" přes krádeže identity až po krádeže peněz. A protože nejjistější chování na webu představuje "opasek a kšandy" (tedy několikanásobné jištění), tak používám i NoScript (a budím tím pravidelně úžas: "Cože, ty máš zakázaný JavaScript? A proč?").
Pokud vyvíjíte weby a ještě jste nečetli XSS Cheat Sheet, tak to urychleně napravte. I když se vám zmíněné příklady možná budou zdát jako srandičky, které "tak maximálně někoho někam přesměrují", tak si uvědomte, že jde pouze o začátek, o "díru", kteoru se bez problémů protáhne i větší prevít.
Včera jsem objevil XSS Prevention Sheet - takový soupis "předletové kontroly", který by si měl každý autor webu projít jako takovou základní mantru. Uložte si ji do Oblíbených a projděte si jej pokaždé, když vyvíjíte něco, co bude na webu.
