автордың кітабынан сөз тіркестері  Безопасность веб-приложений

Эндрю Хоффман

Управление уязвимостями — непрерывный процесс. Поэтому его следует тщательно планировать и вести записи для отслеживания прогресса. Это позволяет точнее определить, сколько времени понадобится на работу

Можно утверждать, что большая часть разработки ПО сводится к поиску способа эффективно перемещать данные из точки A в точку B. Точно так же большая часть техники обеспечения безопасности ищет способы эффективно защищать данные при передаче из точки A в точку B на всех этапах их пути

така напрямую

При прямой XXE-атаке объект XML отправляется на сервер под видом внешней сущности. После его анализа возвращается результат, включающий внешнюю сущность (рис. 12.1).

Спецификация XML позволяет подключать к документу дополнительные компоненты — так называемые внешние сущности. Если XML-анализатор не проводит соответствующую проверку, он может просто загрузить внешнюю сущность и подключить к содержимому XML-документа и таким образом скомпрометировать файлы в файловой структуре сервера.

Вам может казаться, что конечные точки, принимающие XML, встречаются редко, но к XML-подобным форматам относятся SVG, HTML/DOM, PDF (XFDF) и RTF. Они имеют много общего со спецификацией XML, и в результате многие анализаторы XML также принимают их в качестве входных данных.

така на внешние сущности XML-документа (XML External Entity, XXE) во многих случаях легко осуществима и приводит к разрушительным последствиям. Уязвимость, благодаря которой она становится возможной, связана с неправильной настройкой анализатора XML в коде приложения.

По умолчанию браузер полагает, что все действия на устройстве пользователя выполняются от имени этого пользователя.

Обнаружив теги , браузер инициирует запрос GET к конечной точке src (рис. 11.2), чтобы загрузить объекты изображений. В результате с помощью невидимого изображения размером 0 × 0 пикселей можно инициировать CSRF без какого-либо взаимодействия с пользователем.

В предыдущих примерах мы заставляли пользователя выполнить запрос GET в своем браузере с помощью тега гиперссылки .

В качестве альтернативы для этой цели можно использовать изображение:

<!—В отличие от ссылки, картинка выполняет HTTP-запрос GET сразу после загрузки в DOM. Это означает, что никаких действий от пользователя, загружающего страницу, не требуется.