Trusted Types - ochrona przed DOM Based XSS скачать в хорошем качестве

Trusted Types - ochrona przed DOM Based XSS

Poszukiwanie błędów typu DOM Based XSS polega na odnajdywaniu takich miejsc w skrypcie strony, które pobierają danej od użytkownika a następnie przekazują je do potencjalnie niebezpiecznych miejsc w stylu innerHTML bez odpowiedniej weryfikacji. Jednym z obecnie stosowanych rozwiązań, jest zamiana problematycznych funkcji na ich bezpieczniejsze odpowiedniki. I tak zamiast innerHTML można użyć innerText. Problem w tym, że taka zmiana nie zawsze jest możliwa. Zaważono, że zakazując przekazywania dowolnych ciągów do niebezpiecznych elementów może być rozwiązaniem problemu. Zmieniono zatem silnik przeglądarki w taki sposób, aby funkcje, których można użyć do ataków XSS przestały przyjmować ciąg znaków. Zamiast tego akceptują jedynie obiekt TrustedHTML, bądź inny podobny w zależności od oczekiwanego typu. Ten to obiekt tworzy się przy pomocy nowo stworzonego API createPolicy. W przypadku gdy użytkownik włączy ten mechanizm i spróbuje przekazać niepoprawny typ – otrzyma błąd JavaScript. To sprawia, że osoby zajmujące się bezpieczeństwem nie muszą już analizować całego kodu witryny, a tylko jego fragmenty, w których to implementuje się polityki. W takim podejściu bowiem w ostatecznym rozrachunku dane od użytkownika zawsze pojawią się właśnie tam. Jeżeli zatem polityka odpowiednio zweryfikuje podane dane – kod będzie bezpieczny. Subskrybuj kanał: https://www.youtube.com/c/KacperSzure... Grupa na Facebooku:   / od0dopentestera   Spotify: https://open.spotify.com/show/4qGXKJy... Google Podcast: https://www.google.com/podcasts?feed=... Apple Podcasts: https://itunes.apple.com/us/podcast/k... Anchor: https://anchor.fm/kacperszurek/ #xss #dom #od0dopentestera