xss теория .

Discussion in 'PHP' started by barnaki, 8 Aug 2017.

  1. barnaki

    barnaki Elder - Старейшина

    Joined:
    2 Nov 2008
    Messages:
    676
    Likes Received:
    140
    Reputations:
    4
    Здравствуйте. Хочу узнать ваше мнение о некоторой ситуации.
    есть куча тул для автопоиска уязвимостей на коде. например veracode.
    и есть слудующая ситуация. код проекта был пропущен через подобную тулу и в нем нашлось не так уж много уязвимых мест . все таски одного типа. возможны xss атаки.
    но эти места они генерят js и для того и есть. или это сам js куда может прийти аякс респонс и он отрисует это в dom. короче чушь как по мне.

    проблема в том что оно не нашло не одной реальной дыры. тоесть найти место для sql inj или места где этот xss передать они не нашли. но они заявили что
    "если ваша база данных скомпроментирована то вы в этих местах уязвимы к xss". если бы это была шарашкина контора аля рога и копыта то бы забил. но блин серьезная контора которая продает услуги безопасности . лично я считаю что должны же были они хоть что то показать потому и притянули за уши . или я ошибаюсь как считаете ?
     
  2. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Такое бывает сплошь и рядом - несплотабельные вулны или вулны в тестовой среде. Можно спорить я думаю, однако в серьезном продукте не должны быть ошибки, кои заказчики краем уха слышали что это "как то для хакеров" и поэтому напрягаются.

    Если можно вызвать алерт там или эррор на стороне клиента, то нужно убрать я думаю...
     
  3. barnaki

    barnaki Elder - Старейшина

    Joined:
    2 Nov 2008
    Messages:
    676
    Likes Received:
    140
    Reputations:
    4
    да я понимаю . тут проблема в том что проект огромное легаси чудовище на сотни тысяч строк если не на миллион. и в нем куча всякого говна которое живет само по себе.
    единсветнное что мне приходит на ум это попробовать заюзать Content Security Policy. но оно в и этом случае требует 100500 человеко часов. но может хоть частично закрыть проблему.
    собственно вопрос в том чтобы может кто подсказал как закрыть xss раз и на всегда на всей системе (реально большой) не потратив на это год жизни
     
  4. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Приходит на ум вариант - уволиться, и заняться новым интересным проектом?!

    А чё? Многие не знают, но за воротами тоже есть жизнь
     
  5. barnaki

    barnaki Elder - Старейшина

    Joined:
    2 Nov 2008
    Messages:
    676
    Likes Received:
    140
    Reputations:
    4
    да везде одно и тоже. тут еще не так плохо. нормальные процессы. взрослые седые дядьки которые понимают о чем говорят в руководстве. график и тд. проблема в том что везде такие ситуации бывают. есть 2 подхода. бизнесовый и кармический. так вот бизнесовый подход это когда надо давать business value. делать всякую monkey job просто потому что за нее платят. я раньше часто менял работу где то раз в год полтора. но теперь понял что везде одно и тоже . все рубят бабки. и все на этом. если делать что то для души то вечером дома. а на работе всегда приходится фигачить всякое говно иногда. ничего не поделать. все еще не плохо решилось в этом случае. я отфильтровал все что можно. там где это не реально я пометил что это норм и так работает модуль. и мы закрыли эти таски с пометкой wont fix. и объяснили заказчику мол чувак не парься. и именно это то почему я тут работаю. если ты можешь нормально обосновать почему это бред. то тебя послушают. бывает хуже намного. копай и все.
     
  6. Gar|k

    Gar|k Moderator

    Joined:
    20 Mar 2009
    Messages:
    1,166
    Likes Received:
    266
    Reputations:
    82
    Есть еще такое понятие как WAF.
     
    _________________________
    barnaki likes this.
  7. barnaki

    barnaki Elder - Старейшина

    Joined:
    2 Nov 2008
    Messages:
    676
    Likes Received:
    140
    Reputations:
    4
    спасибо. нашел о чем речь.