Недостаток защиты от XSS путем использования только безопасного обращения со вводом в том, что даже единичный отказ безопасности может скомпрометировать ваш сайт. Недавно созданный стандарт под названием "Политика защиты содержимого" позволяет снизить этот риск.
CSP используется для ограничения возможностей браузера по просмотру вашей страницы: он может пользоваться только полученными из безопасных источников ресурсами. Ресурс – это скрипт, таблица стилей, изображение, или любой иной тип файла, на который ссылается страница. Это означает, что даже если злоумышленник преуспеет во внедрении вредоносного кода в ваш сайт, CSP не даст этому коду выполниться.
Автор: Амит Кулкарни (Amit Kulkarni) Оригинал статьи Перевод: Ольга Алифанова
Автоматизированное тестирование безопасности с ZAP API может помочь найти уязвимости на ранних стадиях. Инструмент безопасности и API, который тут используется – это OWASP ZAP. OWASP ZAP поможет автоматизировать тесты безопасности для включения их в непрерывную интеграцию/непрерывную поставку (CI/CD) для вашего приложения с использованием существующих функциональных регресс-наборов и ZAP Python API.
Ознакомьтесь с секцией "ссылки", чтобы узнать больше.
Тестирование безопасности — одна из наиболее популярных тем для изучения тестировщиками. Чаще всего на собеседованиях задают вопросы про XSS и SQL-инъекции. Многие профессионалы слышали об этих терминах, но считают тестирование безопасности (и поиск инъекций в частности) слишком сложным навыком.
В этом видео Арсений Батыров рассказывает, что такое XSS-инъекция, как она работает, причем тут cookie и как ее применить на примере работы с сайтом-песочницей:
Это фрагмент нового курса Арсения Батырова “Тестирование безопасности”, в котором разбираются различные уязвимости в клиент-серверных приложениях, методы их поиска и защиты.
Записывайтесь на курс, обычно первый поток самый массовый и интересный, на нем больше общения между участниками!!!
Другие видео тренера вы можете увидеть на youtube-канале.
Это вторая часть руководства по XSS. В первой части была дана общая информация по XSS-уязвимостям и основному сценарию их использования.
Типы XSS
Несмотря на то, что цель XSS-атаки всегда в том, чтобы запустить вредоносный JavaScript в браузере жертвы, способы, которыми этого можно добиться, фундаментально различаются. XSS-атаки часто делят на три типа:
Длительная XSS-атака, когда вредоносная строка хранится в базе данных сайта.
Отраженная XSS-атака, когда вредоносная строка создается в запросе жертвы.
Основанная на DOM атака, когда уязвимость находится в клиентском коде, а не в серверном.
Пример в первой части иллюстрировал длительную XSS-атаку. Теперь мы опишем два оставшихся типа атак: отраженную и основанную на DOM.
Авторы: Джейкоб Каллин и Ирен Лобо Валбуэна (Jakob Kallin, Irene Lobo Valbuena) Оригинал статьи: https://excess-xss.com/ Перевод: Ольга Алифанова
Общая информация
Что такое XSS?
Межсайтовый скриптинг (XSS) – это атака инъекции кода, позволяющая атакующему запустить вредоносный JavaScript в браузере другого пользователя.
Злоумышленник не целится в жертву напрямую. Вместо этого он пользуется уязвимостью на сайте, который посещает жертва, чтобы заставить сайт передать вредоносный JS. В браузере жертвы этот JS будет казаться полноправной частью сайта, и в результате сайт действует как невольный союзник злоумышленника.
Сканеры веб-приложений — довольно популярная сегодня категория софта. Есть платные сканеры, есть бесплатные. У каждого из них свой набор параметров и уязвимостей, возможных для обнаружения. Некоторые ограничиваются только теми, что публикуются в OWASP Top Ten (Open Web Application Security Project), некоторые идут в своем black-box тестировании гораздо дальше.
Автор: Дейв Вестервельд (Dave Westerveld) Оригинал статьи Перевод: Ольга Алифанова
Уязвимости безопасности и сохранности данных – наибольшие риски, с которыми сталкивается любой продукт. Один публичный инцидент может разорить компанию, или, как минимум, нанести по ней серьезный удар – это помимо урона, нанесенного командному духу. Логично сделать вывод, что тестирование безопасности – это очень важно.
Однако не думаю, что вы пробовали в нем разобраться. Это довольно сложный, запутанный мир, и для того, чтобы стать эффективным тестировщиком безопасности, понадобится много специальных знаний и высокий уровень технической подготовки. Не у всех есть время или склонность к изучению необходимого минимума для этого рода тестирования, но это не значит, что мы не можем помочь повысить безопасность.
Хорошее тестирование дает на выходе более безопасный продукт. Множество угроз безопасности – межсайтовый скриптинг, сниффинг пакетов, SQL-инъекции – вы не найдете без хотя бы некоторых специальных знаний, но этим тестирование безопасности не ограничивается.
Все мы знаем, что перехват сессии – это очень плохо, и от него надо защищать себя и свои приложения. Однако удобопонятную информацию о том, что это такое и как это тестировать, найти трудно. В этой статье я опишу различные виды перехвата сессий, а затем дам пошаговую инструкцию, как тестировать на эту уязвимость, используя OWASP Juice Shop и Burp Suite.
Перехват сессий – это ситуация, когда злоумышленник получает доступ к авторизационной информации и использует ее, чтобы представиться другим пользователем или получить доступ к информации, которого быть не должно. Перехват бывает разных видов:
Большое заблуждение считать, что любое тестирование безопасности – это очень сложная штука. Конечно, зачастую оно требует изучения новых навыков и понимания таких вещей, как сети, IP-адреса и доменные имена, но оно может быть и невероятно простым. Сегодня мы поговорим о трех дырах безопасности, которые можно найти в приложении при помощи инструментов разработчика, встроенных в браузер. Этими уязвимостями может воспользоваться любой среднестатистический пользователь приложения, а не только высококвалифицированный черный хакер.
Автор: Кристин Джеквони (Kristin Jackvony) Оригинал статьи Перевод: Ольга Алифанова
Еще один тип атак на безопасность – это SQL-инъекции. Они могут нанести серьезный урон вашему приложению, поэтому очень важно найти эти уязвимости до того, как их найдет злоумышленник.
Осуществляя SQL-инъекцию, злоумышленник отправляет SQL-запрос через поле формы, которое взаимодействует с базой данных неожиданным образом. Вот четыре примера того, что этот нехороший человек может сделать при помощи такой атаки:
Полностью удалить таблицу.
Изменить запись о другом пользователе.
Получить данные, к которым у него не должно быть доступа.
