Pull to refresh
38
0
Влад Савицкий @VladSavitsky

Пользователь

Send message

Google Chrome хакеру не помощник

Reading time 3 min
Views 18K
О том, как Chrome мешает мне искать XSS-уязвимости.


Почему я ищу уязвимости?


Как и многие из вас, я делаю Code Review и первое, что ищу это конечно уязвимости. Когда уязвимость найдена в коде, хорошо бы проверить есть ли она на самом деле через браузер, потому что бывают «ложные тревоги». Это те случаи, когда данные уже приходят фильтрованными и XSS невозможен. Всегда полезно иметь возможность показать разработчику атаку в действии, потому что это хороший аргумент и помогает быстрее перейти к конструктивному решению проблемы, если есть сомнения, что уязвимость таки существует. Но проверку в браузере я делаю не часто — либо проблема очевидна прямо из кода, либо верят на слово. В общем искать уязвимости — это интересно.

Начало этой истории


Друг скинул ссылки на сайт, который ещё год назад имел XSS-уязвимость, о чем я писал владельцам ресурса. Стало интересно проверить снова. Проверил — XSS есть, но вот простейшего подтверждения выполнения JS я получить не смог!..



Я не ломаю сайты и не занимаюсь аудитом безопасности, поэтому возможно то, что я выяснил давно известно для специалистов, но для меня это было открытием.

Первые подозрения


Итак, стал проверять всевозможные варианты внедрения кода — но без результата. По ходу дела выяснил что и как фильтруется, какие есть проверки и прочее, но alert(1); упорно не выполнялся. По ходу дела нашелся ещё и XSRF — приятный бонус!
Далее я расскажу как я потреля кучу времени, но выяснил одну важную особенность браузера Chrome.
Total votes 116: ↑92 and ↓24 +68
Comments 42

Roly Poly — если с близкими вас разделяет расстояние

Reading time 1 min
Views 80K
Прочитал сообщение и очень захотелось такую штуку иметь! Подскажите как можно это сделать.

Описание из интернетов:
В комплекте идут два «яйца» – по одному для каждого.

Принцип работы довольно прост: один человек прикасается к «яйцу» – и в этот момент устройство другого человека начинает раскачиваться, указывая на то, что один человек вспоминает о другом. Это работает, даже если люди находятся в разных странах.
image
Читать дальше →
Total votes 29: ↑16 and ↓13 +3
Comments 48

Создай свое расписание DrupalCamp Kyiv 2011

Reading time 2 min
Views 643

Через пару дней начнется Drupal-конференция в Киеве (3-4 июня). Уже несколько лет мы собираем друпалеров, чтобы пообщаться, поучиться и повеселиться.

Раньше форматом кемпов был — баркемп, что значит, что расписание формируется прямо на событии и любой участник может добавить свой доклад в пустую клеточку расписания. Но в последнее время мы увидели, что мы бы могли эффективнее использовать время, помещения и средства, если бы формировали расписание докладов заранее.

В этом году расписание докладов на DrupalCamp Kyiv 2011 мы сделали до начала кемпа.
Докладчики добавляли тезисы своих докладов задолго до конференции и мы им помогали готовить себя и слайды.

В этом отличие от прошлых кемпов — расписание докладов формируется не во время проведения конференции, а до начала кемпа.


Читать дальше →
Total votes 23: ↑16 and ↓7 +9
Comments 8

Самые популярные темы докладов на DrupalCamp 2011 в Киеве

Reading time 3 min
Views 1.2K
По состоянию на 1 мая 2011 года и по данным на странице camp11.drupal.ua/ru/program я получил очень интересную информацию о том, чего желают люди, которые будут на Drupal-кемпе в Киеве 3-4 июня 2011 года.


Читать дальше →
Total votes 29: ↑25 and ↓4 +21
Comments 7

Drupal-конференция в Киеве 3-4 июня 2011

Reading time 2 min
Views 584
DrupalCamp Киев 2011
Ближайшее Drupal-событие — это конференция в Москве (23го апреля). Если кто собирается там быть, то там и увидимся. Я тоже планирую там быть. Не забудьте зарегистрироваться, чтобы огранизаторы смогли все наилучшим образом спланировать.

Для тех, кто по разным причинам не попадает на кемп в Москве, есть возможность посетить очередной DrupalCamp 3-4 июня в Киеве.
DrupalCamp Киев — это конференция, посвященная CMS Drupal. Мы расчитываем собрать до 400 участников — как матерых друпаллеров, так и тех, кто только начинает знакомиться с Друпалом.
Читать дальше →
Total votes 29: ↑24 and ↓5 +19
Comments 18

Патч к Drupal-модулю Date — показываем месяцы в родительном падеже

Reading time 4 min
Views 1.6K
Вывод даты в виде "27 февраль 2010" это уродливо. Ни в русском, ни в украинском, ни в польском — и, я думаю, что это касается большинства других славянских языков — так не говорят и не пишут.

НЕправильные даты в выводе ноды

Понятно, что через какое-то время привыкаешь и просто не замечаешь, но есть ведь настойчивые заказчики, которые тыкают носом разработчика в эти «ляпы» и требующие исправления ошибок (по их мнению). Спасибо им за это. Это нужно, хотя и раздражает.

Читать дальше →
Total votes 63: ↑45 and ↓18 +27
Comments 31

Information

Rating
Does not participate
Location
Украина
Registered
Activity