Archwium dla tagu ‘wp’
XSS w serwisie Wirtualnej Polski
Często podawanym sposobem na zabezpieczenie się przed atakami typu XSS jest usunięcie z danych przesyłanych od użytkownika wszystkiego znajdującego się pomiędzy znakami “<”, “>”. Działanie takie jest jak najbardziej prawidłowe w przypadku, gdy korzystamy z niego świadomie. Wiara, że użycie “magicznej” funkcji strip_tags (w przypadku PHP) w pełni nas obroni jest złudna.
Phishing w Pasażu Wirtualnej Polski
. grzech:
brak filtracji szukanego słowa
konsekwencja:
umożliwienie ataku XSS / CSRF – umożliwia to phishing
Jednym z serwisów wchodzących w skład portalu Wirtualna Polska jest Pasaż. Umożliwia on właścicielom sklepów internetowych prezentacje swoich produktów na łamach WP.
Kluczowym elementem Pasażu jest wyszukiwarka umożliwiająca odnalezienia w gąszczu produktów tego, którym jesteśmy zainteresowani. Wpisywane słowo kluczowe nie jest filtrowane dzięki czemu [...]