Aktywne Wpisy
olcayn +350
Myślicie, że beka0 to szczyt bezczelnego rozdawnictwa? To patrzcie #!$%@? na to XDDD
#nieruchomosci #polityka
#nieruchomosci #polityka
Kompromitacja wiejskiego cw[ ]ela.
Dzisiaj przyjechała nowa listonoszka ze zwrotem podatku dla ojca. Blondynka w moim wieku. Chuop rąbał drwa i był cały czerowny. Dziewczyna pyta się czy tu mieszka [imię i nazwisko starego] i że jest zwrot podatku. Odpowiadam, że tak i że to mój tato. Każe mi podpisać. Wylicza kasę dla ojca. Chciałem już powiedzieć jej: "Do widzenia" , a ona do mnie zagaduje.
Mówi, że dopiero zapoznaje się z
Dzisiaj przyjechała nowa listonoszka ze zwrotem podatku dla ojca. Blondynka w moim wieku. Chuop rąbał drwa i był cały czerowny. Dziewczyna pyta się czy tu mieszka [imię i nazwisko starego] i że jest zwrot podatku. Odpowiadam, że tak i że to mój tato. Każe mi podpisać. Wylicza kasę dla ojca. Chciałem już powiedzieć jej: "Do widzenia" , a ona do mnie zagaduje.
Mówi, że dopiero zapoznaje się z
innerHTML
bez odpowiedniej weryfikacji. #od0dopentesteraJednym z obecnie stosowanych rozwiązań, jest zamiana problematycznych funkcji na ich bezpieczniejsze odpowiedniki.
I tak zamiast
innerHTML
można użyćinnerText
.Problem w tym, że taka zmiana nie zawsze jest możliwa.
Postanowiono zatem monitorować potencjalnie niebezpieczne miejsca.
Zmieniono silnik przeglądarki w taki sposób, aby funkcje, których można użyć do ataków XSS, przestały przyjmować string.
Zamiast tego akceptują jedynie obiekt
TrustedHTML
, bądź inny, podobny, w zależności od oczekiwanego typu.Ten to obiekt tworzy się przy pomocy nowo stworzonego API
createPolicy
.W przypadku gdy użytkownik włączy ten mechanizm i spróbuje przekazać niepoprawny typ – otrzyma błąd JavaScript.
To sprawia, że osoby zajmujące się bezpieczeństwem nie muszą już analizować całego kodu witryny, a tylko jego fragmenty, w których to implementuje się polityki.
W takim podejściu bowiem w ostatecznym rozrachunku dane od użytkownika zawsze pojawią się właśnie tam.
Jeżeli zatem polityka odpowiednio zweryfikuje podane dane – kod będzie bezpieczny.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Podcast dostępny na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes #webdev #security #javascript #programista15k
Możesz zapisać/wypisać się klikając na nazwę listy.
! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @balor @elpredatoro @notoniewiem @czechu @arba @Wroneczek @xDRpl @umiarkowany_ekstremista @bartex121 @madox @porbono @Ravciu @brudny @luznoluzno @phund @int @sebekk23 @Melisandre @kintoro @Narrorek @Lizbona