😊Представили себя ))) когда у вас открыто +100500 вкладок и еще столько же в избранном, отложенном и на двух других мониторах )))

🍀Читаем статьи за Вас №26

✔️Что такое XSS
- XSS (Cross-site scripting) — уязвимость в web-приложениях, позволяющая внедрить вредоносный скрипт на страницу.
- Скрипт может украсть данные пользователей, такие как куки, сессионные токены и логины с паролями.

✔️Типы XSS атак
- Сохраняемый XSS: вредоносный скрипт сохраняется в БД и запускается у клиента.
- Отраженный XSS: скрипт передается через URL и добавляется в тело ответа.
- XSS на основе DOM: скрипт внедряется в DOM дерево во время работы JS.

✔️Сохраняемый XSS
- Скрипт сохраняется в БД и запускается у всех пользователей, посетивших страницу.
- Пример: злоумышленник добавляет отзыв с вредоносным скриптом в раздел отзывов.

✔️Отраженный XSS
- Скрипт передается через ссылку, добавляется в HTML и запускается у жертвы.
- Пример: скрипт добавляется в query параметры ссылки и попадает на страницу.

✔️XSS на основе DOM
- Скрипт внедряется в DOM дерево во время работы JS.
- Пример: скрипт запускается у клиента после загрузки страницы.

✔️Современные меры безопасности
- Современные браузеры улучшают безопасность с помощью SOP и CSP.
- Валидация входных данных также помогает предотвратить XSS атаки.

✔️Выводы
- XSS уязвимости все еще возможны, несмотря на меры безопасности.
- Важно знать о типах XSS атак и их особенностях для предотвращения компрометации данных.

✔️Поиск по разделу и уязвимость
- Банк решил добавить поиск по разделу для удобства клиентов.
- Функция updateSearchQueryParam записывает параметры поиска в query параметр.
- Функция updateSearchSubtitle отображает параметры поиска при загрузке страницы.
- В реализацию пробралась уязвимость, позволяющая передавать скрипты через query параметр.

✔️Отслеживание уязвимости
- Уязвимость можно отследить на стороне сервера, если писать логи запросов.
- В некоторых случаях скрипт не покидает границ браузера, например, при работе с hash параметром.

✔️Другие типы XSS атак
- mXSS (XSS с мутациями) использует механизм очистки браузера для создания валидного скрипта.
- Blind XSS (Слепая XSS) запускается через форму обратной связи, может быть в другом приложении.
- Self XSS (Self XSS) требует от жертвы запуска вредоносного скрипта в консоли браузера.

#xss #redteam #privacy #hack

https://habr.com/ru/companies/alfa/articles/717896/

🤓🤓🤓На цифровом прорыве комманда которую я тренирую вошла в топ-10 по своему кейсу. Для ребят это был первый опыт таких масштабных соревнований. Результат хороший. Мы планировали попасть в топ-5, но зашли в топ-10. Ребята очень старались. Завтра запишу вам кружочки и все расскажу как было !