Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Обсуждение: CWE/SANS Top 25 Most Dangerous Software Errors  (Прочитано 8944 раз)
0 Пользователей и 1 Гость смотрят эту тему.
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« : 18-05-2012 12:06 » new

https://forum.shelek.ru/index.php/topic,28557.msg280039.html#msg280039

№4: http://cwe.mitre.org/top25/#CWE-79

Я вот не понимаю, что такое "межсайтовый скриптинг" (XSS). Может кто-нибудь объяснить по простому?

Просто XSS упоминается в №12: ( http://cwe.mitre.org/top25/#CWE-352 ), а данный вопрос я тоже не могу понять. К примеру, в implemetation написано "Check the HTTP Referer header to see if the request originated from an expected page.". По моему это фигня, мертвому припарки. Не Referer надо проверять, а входные данные.

Кстати, извиняюсь, данные пункты совсем не про embedded.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 18-05-2012 12:45 » 

Не Referer надо проверять, а входные данные.
Да входные данные проверять надо, но referer - это такие же входные данные.

Я при обработке формы проверяю referer, только для того чтоб отсечь каких либо роботов... и мне это удалось. нет referer - нет ответа. Форма "ниоткуда" не должна обрабатываться
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #2 : 18-05-2012 16:19 » 

Но его легко подделать. Да и, как там же написано, прокси может его убрать совсем. Поля протокола, формируемые клиентом независимо от сервера, по умолчанию являются подозрительными данными и требуют осторожного обращения.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines