О ... 
										

										+ развернуть текст   сохранённая копия

										


										Хабы: Информационная безопасность, Веб-разработка, Google Chrome 

О том, как Chrome мешает мне искать XSS-уязвимости.




Почему я ищу уязвимости?




Как и многие из вас, я делаю Code Review и первое, что ищу это конечно уязвимости. Когда уязвимость найдена в коде, хорошо бы проверить есть ли она на самом деле через браузер, потому что бывают «ложные тревоги». Это те случаи, когда данные уже приходят фильтрованными и XSS невозможен. Всегда полезно иметь возможность показать разработчику атаку в действии, потому что это хороший аргумент и помогает быстрее перейти к конструктивному решению проблемы, если есть сомнения, что уязвимость таки существует. Но проверку в браузере я делаю не часто — либо проблема очевидна прямо из кода, либо верят на слово. В общем искать уязвимости — это интересно.



Начало этой истории




Друг скинул ссылки на сайт, который ещё год назад имел XSS-уязвимость, о чем я писал владельцам ресурса. Стало интересно проверить снова. Проверил — XSS есть, но вот простейшего подтверждения выполнения JS я получить не смог!..







Я не ломаю сайты и не занимаюсь аудитом безопасности, поэтому возможно то, что я выяснил давно известно для специалистов, но для меня это было открытием.



Первые подозрения




Итак, стал проверять всевозможные варианты внедрения кода — но без результата. По ходу дела выяснил что и как фильтруется, какие есть проверки и прочее, но alert(1); упорно не выполнялся. По ходу дела нашелся ещё и XSRF — приятный бонус!

 Далее я расскажу как я потреля кучу времени, но выяснил одну важную особенность браузера Chrome.
										
										

										

										Тэги: auditor, chrome, cross, google, script, site, webkit, xss, аудит, безопасность, браузеры, веб-разработка, информационный, уязвимость 

										

																													
PES 2012 Facepack Nº 65 by ElBoss   2012-04-30 16:35:01
										

										PES 2012 Facepack Nº 65 by ElBoss includes :

- Matija Skarabot
- Martin Lanig
- Martin Bergvold
-  ... 
										

										+ развернуть текст   сохранённая копия

										


										PES 2012 Facepack Nº 65 by ElBoss includes :

- Matija Skarabot
- Martin Lanig
- Martin Bergvold
- Manuel Zeitz
										
										

										

										Тэги: 2012, bergvold, elboss, face, facepack, lanig, manuel, martin, matija, pes, skarabot, zeitz 

										

																														

																				
Google Apps - это... работает!   2012-04-27 13:05:00
										

										
+ развернуть текст   сохранённая копия

										


										
В своём предыдущем посте “Google Apps - это (не)просто?” я постарался раскрыть общие вопросы автоматизации процессов в облачных сервисах Google. Теперь речь пойдёт об уже готовых решениях. 

Одно из них - модульное бизнес-решение “Сервисная Служба”, созданное нами для работы с клиентами.

Это решение предназначено, в первую очередь, для небольших компаний, занимающихся предоставлением различного рода услуг. Так как наша компания оказывает услуги, в том числе, и по технической поддержке, данное решение имеет уклон именно в эту область. Однако, благодаря своей модульной структуре, оно может после некоторой доработки с успехом использоваться и в более широком спектре.
 
Скажу больше: облачные технологии Google позволяют создавать целую гамму различных решений, от онлайн-консультаций до онлайн-бронирования.


Для реализации решения был использован язык Google Apps Script, который позволяет связать в единую систему различные облачные сервисы Google: Документы, Почту, Сайты, Календарь. 

В целом, решение состоит из трёх модулей: Отправка и контроль заявок, Обработка заявок и База данных с интерфейсом администратора. 

Первый модуль предназначен для отправки заявок клиентами Службы с целью решения проблем по темам их подписки (сервисы Google, внешние и внутренние сайты, программные решения и т.п), а также для отслеживания клиентом полного процесса решения его проблемы. Для входа в систему клиент вводит адрес своей электронной почты и, в качестве пароля, сервисный код.

Второй модуль используется специалистами Службы (исполнителями) для работы с заявками клиентов. Исполнитель может принять заявку, редактировать уже принятые им заявки: добавлять комментарии и заполнять резолюцию. Он может просмотреть информацию по любой заявке из базы данных Службы, при этом заявки других исполнителей не доступны ему для редактирования, а данные по ним представлены в кратком виде.

Третий, и основной, модуль представляет собой базу данных Службы. В Документах Google для этих целей с успехом используются электронные таблицы. Доступ к таблице имеет только администратор, при этом он видит полную картину работы Службы и может собирать необходимую ему статистику. Он также может проводить все основные операции: отключать или подключать клиентов и исполнителей к Службе, назначать им опции, создавать сервисные коды, и, через специально разработанный для него интерфейс, осуществлять быстрое управление нужными заявками. 

Таким образом, автоматизируется весь процесс работы с клиентами, а облачные сервисы связываются в единую систему, способную решать и более сложные задачи. 

Все мы находимся только в начале пути: буквально каждый месяц приносит различные усовершенствования и нововведения в сервисах Google, но уже на данном этапе реально создание гибких, лёгких и эффективных решений, позволяющих расширить возможности вашего бизнеса и обеспечить ему конкурентные преимущества.

										
										

										

										Тэги: apps, desk, docs, google, script, service, аналитик, облачный, решение, сервисный, сервисы, служба 

										

																													
Exit-Script для сбора подписчиков с одностраничных сайтов   2012-04-23 02:03:00
										

										Согласитесь, что сбор подписчиков является одной из важных задач каждого интернет-предпринимателя.  ... 
										

										+ развернуть текст   сохранённая копия

										


										Согласитесь, что сбор подписчиков является одной из важных задач каждого интернет-предпринимателя. Поэтому приходиться использовать различные методы и способы, помогающие увеличить подписную базу. Одним из инструментов для сбора контактов, а так же для увеличения конверсии служит специальный Exit-Script, который позволяет на выходе с сайта остановить внимание посетителя и задержаться, предложив ему какой либо подарок в обмен [...]
										
										

										

										Тэги: exit-script, видеоуроки, обучающий, подписчик, сайт, скрипт, урок 

										

																													
Windows — автоматизация задач с помощью скриптов. Интересные возможности WSH   2012-04-01 14:40:21
										

										Пожалуй, многие знают, что Windows начиная с версии 98 имеет по умолчанию в своем составе Windows  ... 
										

										+ развернуть текст   сохранённая копия

										


										Пожалуй, многие знают, что Windows начиная с версии 98 имеет по умолчанию в своем составе Windows Script Host (WSH), который позволяет исполнять скрипты на языках VBScript и JScript, но далеко не каждый хотя бы раз пользовался этой возможностью. В этой статье я приведу примеры полезных сниппетов и скриптов для WSH и попробую убедить вас в [...]
										
										

										

										Тэги: .net, host, html/js, javascript, jscript, perl, perlscript, script, vbscript, window, wmi, wsh, автоматизация, задача, интересный, сниппеты 

																											
								


								
Страницы: ... 21 22 23 24 25 26 27 28 29