ב - 16 לאפריל פירסמתי כתבה המציגה כיצד התבצע XSS באתר Symantec.
לינק לכתבה
עכשיו החליטו לבצע זאת גם ל - Mcafee שלא תרגיש בודדת במערכה :)
מדהים לראות אך שהחברות הגדולות שדוגלות ב - Security ומפתחות מוצרי הגנה לנושא,
פגיעות לבעיות אבטחה בסיסיות, כנראה באמת הסנדלר הולך יחף.
אז איך מבצעים את זה:
כמובן אל תנסו את זה בבית.
לינק מלא לכתבה
לינק לכתבה
עכשיו החליטו לבצע זאת גם ל - Mcafee שלא תרגיש בודדת במערכה :)
מדהים לראות אך שהחברות הגדולות שדוגלות ב - Security ומפתחות מוצרי הגנה לנושא,
פגיעות לבעיות אבטחה בסיסיות, כנראה באמת הסנדלר הולך יחף.
אז איך מבצעים את זה:
- Go to the McAfee Rebate Center
- Click on Get Rebate
- Include this line of code into the 'Date Purchased' field:
- Click on continue
כמובן אל תנסו את זה בבית.
לינק מלא לכתבה
4 תגובות:
על זה נאמר security feature is not a secured feature.
מה שיפה פה זה שה-XSS נמצא בשדה של תאריך. כמה קשה כבר לוודא תקינות קלט בשדה של תאריך?
אגב, בשפות תכנות מודרניות (למשל ב-C#), כבר מקבלים היום ב"חינם" בדיקה בסיסית של קלט (למשל בדיקה אם הוזן גרש כדי להתמודד עם sql injection או אם הוזן '>' כדי להתמודד עם XSS).
מסכים דיי בקלות ניתן לעצור את זה
מצחיק אבל זאת המציאות
אם זה כמו במקום העבודה שלי מדובר כנראה בחברה מתמחה אחרת שבונה ומתחזקת בשבילם את האתר
אריאל היי
כן אבל עדיין החברה שלך היא הלקוח והיא יכולה לדרוש בדיקות חדירה על האתר שלה.
או לחילופין לבצע זאת בעצמה במידה ויש אנשים בעלי כישורים מתאימים.
כדי למנוע מצב דומה.
הוסף רשומת תגובה