Недавно был на конференции SQA Days 10, где было много интересных докладов, но сейчас хочется написать про безопасность, с чем сталкивался сам, после того как был на мастер-классе по тестированию безопасности.
Больше, чем полгода назад по вечерам и выходным участвовал в проекте fixber.com для тестирования разных сайтов и приобретения нового опыта. Участвуя там, узнал о пассивном xss (до этого сталкивался только с активным xss), например для проверки достаточно вставить текст в блоке ниже в поле поиска:
Больше, чем полгода назад по вечерам и выходным участвовал в проекте fixber.com для тестирования разных сайтов и приобретения нового опыта. Участвуя там, узнал о пассивном xss (до этого сталкивался только с активным xss), например для проверки достаточно вставить текст в блоке ниже в поле поиска:
"><script>alert('passive xss')</script>
если скрипт сработает, то покажется сообщение:
С помощью программы skipfish находил открытый доступ к ".htaccess".
Видел, как находили "File Upload" можно было загрузить файл с любым расширением, например исполняемый.
Также столкнулся с "frontend_dev.php", который был открыт для всех (для проверки добавляем к url "/frontend_dev.php")
Стоит ещё обращать внимание на url, если показывается id пользователя, то возможно при подмене можно получить доступ к чужому аккаунту.
CASINO - JTM Hub
ОтветитьУдалитьCASINO. 삼척 출장안마 TELTA 전라북도 출장마사지 HABANERO. No slot machine games at this location. This 제주도 출장샵 is an authorized 경주 출장안마 gambling operator located 순천 출장샵 in TELTA HABANERO.