Új hozzászólás Aktív témák

• #9058 martonx veterán nevemfel #9056

  Új Válasz 2021-12-19 12:06:41 #9058

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  martonx

  veterán

  válasz nevemfel #9056 üzenetére

  Igen, bár tegyük hozzá, hogy nem csak harmadik féltől jöhetnek ártó kódok
  Elég ha valaki location.href = 'myhackersite.url' user névvel regisztrál be, és a felületen megjelenítik a user nevet
  Szóval persze biztonsági kockázat, de nem annyira ördögtől való (pláne nem a modern js frameworkök előtt) összerakni a html-t, saját backend hívásokból.
  Ezért is írtam:
  1. megoldás: újraírni a rendszert
  2. checkmarx-nál 100% biztos vagyok, hogy lehet paraméterezni, hogy mire riasszon be, és mire ne. Ez esetben a fejlesztő, ha biztos benne, hogy ezek nem 3rd party url hívások, és kivédte, hogy nem kerülhet ártó szándékú js a saját adatbázisba, akkor igaziból nulla a kockázat.

Új hozzászólás Aktív témák