Ещё один пример XSS уязвимости
Предположим, сайт
Что делает злоумышленник:
1. Создаёт специальную ссылку, например:
2. Обманом заставляет вас перейти по этой ссылке (через фишинговое письмо, сообщение в соцсети и т.д.)
Что происходит у вас в браузере:
1. Вы заходите на
2. Сервер
3. Ваш браузер видит этот скрипт и выполняет его, потому что считает, что он пришёл с доверенного сайта
Ну и всё, вы остались без почки
Поможет ли тут CSP? Ответ:увы, нет
Нужно понимать, что CSP проверяет только источник, а не содержимое скрипта. Тут вредоносный скрипт встроил сам доверенный сервер, CSP такой скрипт ничем не смутит. Зато эту проблему можно решить банальным экранированием
Спасибо за прочтение, это важно для меня💖
@prog_way_blog — чат — #theory #useful #web
Предположим, сайт
a.com не защищён от XSS. Допустим, там есть URL-параметр, который встраивается в страницу как есть:<div>Результаты поиска: <?php echo $_GET['query']; ?></div>
Что делает злоумышленник:
1. Создаёт специальную ссылку, например:
https://a.com/search?query=<script>alert('Я украл твою почку!')</script>2. Обманом заставляет вас перейти по этой ссылке (через фишинговое письмо, сообщение в соцсети и т.д.)
Что происходит у вас в браузере:
1. Вы заходите на
a.com через эту ссылку2. Сервер
a.com вставляет <script>...</script> прямо в HTML3. Ваш браузер видит этот скрипт и выполняет его, потому что считает, что он пришёл с доверенного сайта
a.comНу и всё, вы остались без почки
Поможет ли тут CSP? Ответ:
Нужно понимать, что CSP проверяет только источник, а не содержимое скрипта. Тут вредоносный скрипт встроил сам доверенный сервер, CSP такой скрипт ничем не смутит. Зато эту проблему можно решить банальным экранированием
Спасибо за прочтение, это важно для меня
@prog_way_blog — чат — #theory #useful #web
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16👍12🤯6🐳6🔥4