Что пишут в блогах
- Мои 12 недель в году. Часть 26 (Лицензия на ИП и 3-я книжка!)
- Как войти в новый проект: взаимоотношения с командой и пользователями, тестовая лаборатория
- Баги - отдельные задачи или комментарии?
- Митап от Тинькофф “Техтолк инженеров по тестированию” 20 марта 2024
- Опрос: поделитесь мнением про техдолг
- Если вы стали QA-менеджером
- Книга "Баг-трекинг: локализация и оформление дефектов" уже в продаже!
- Топ 30 вопросов на собеседовании на тестировщика ПО (Junior QA)
- Идеальный час
- Обратная связь и самомотивация
Что пишут в блогах (EN)
- Five for Friday – April 5, 2024
- The Possible and Impossible: Mathematical Thinking for Planning
- Looking back at Agile Testing, 15 years on
- Does Test Automation Necessarily Make Our Jobs Easier?
- 10 Bad Reasons Why Companies Don’t Hire Testers
- Judging Developers by GitHub Contributions
- Five for Friday – March 29, 2024
- Translating Agile Testing Condensed the unconvential way – part 3
- From Head of QA to Freelancing – Interview with Leonardo
- Five for Friday – March 22, 2024
Онлайн-тренинги
-
Практикум по тест-дизайну 2.0Начало: 19 апреля 2024
-
Английский для тестировщиковНачало: 22 апреля 2024
-
Школа Тест-АналитикаНачало: 24 апреля 2024
-
Python для начинающихНачало: 25 апреля 2024
-
Автоматизация тестов для REST API при помощи PostmanНачало: 25 апреля 2024
-
Азбука ITНачало: 25 апреля 2024
-
Школа для начинающих тестировщиковНачало: 25 апреля 2024
-
Тестирование производительности: JMeter 5Начало: 26 апреля 2024
-
Логи как инструмент тестировщикаНачало: 29 апреля 2024
-
Тестирование REST APIНачало: 29 апреля 2024
-
Автоматизатор мобильных приложенийНачало: 1 мая 2024
-
Автоматизация тестирования REST API на JavaНачало: 1 мая 2024
-
Автоматизация тестирования REST API на PythonНачало: 1 мая 2024
-
Тестирование безопасностиНачало: 1 мая 2024
-
Тестирование мобильных приложенийНачало: 1 мая 2024
-
Инженер по тестированию программного обеспеченияНачало: 2 мая 2024
-
Техники локализации плавающих дефектовНачало: 6 мая 2024
-
Тестирование без требований: выявление и восстановление информации о продуктеНачало: 13 мая 2024
-
Тестировщик ПО: интенсивный курс со стажировкой (ПОИНТ)Начало: 14 мая 2024
-
Тестирование юзабилити (usability)Начало: 15 мая 2024
-
Chrome DevTools: Инструменты тестировщикаНачало: 16 мая 2024
-
Git: инструменты тестировщикаНачало: 16 мая 2024
-
Docker: инструменты тестировщикаНачало: 16 мая 2024
-
SQL: Инструменты тестировщикаНачало: 16 мая 2024
-
Charles Proxy как инструмент тестировщикаНачало: 16 мая 2024
-
Консольные утилиты Android: инструменты тестировщикаНачало: 16 мая 2024
-
Регулярные выражения в тестированииНачало: 16 мая 2024
-
Bash: инструменты тестировщикаНачало: 16 мая 2024
-
Тестирование веб-приложений 2.0Начало: 17 мая 2024
-
Организация автоматизированного тестированияНачало: 17 мая 2024
-
Школа тест-менеджеров v. 2.0Начало: 22 мая 2024
-
Создание и управление командой тестированияНачало: 23 мая 2024
-
Автоматизация функционального тестированияНачало: 24 мая 2024
-
SQL для тестировщиковНачало: 27 мая 2024
-
Программирование на Java для тестировщиковНачало: 31 мая 2024
-
Selenium IDE 3: стартовый уровеньНачало: 31 мая 2024
-
Погружение в тестирование. Jedi pointНачало: 3 июня 2024
-
Программирование на C# для тестировщиковНачало: 7 июня 2024
-
Аудит и оптимизация QA-процессовНачало: 7 июня 2024
-
Комплексная система подготовки тестировщиков по программе ISTQB FLНачало: 17 июня 2024
| Что такое межсайтовый скриптинг, и какое нам до него дело? |
| 25.02.2019 00:00 |
|
Беседуя о тестировании безопасности, вы наверняка слышали о межсайтовом скриптинге (XSS), однако, возможно, не очень хорошо понимаете, что это такое. Межсайтовый скриптинг – это атака, при которой злоумышленник находит способ выполнять скрипт на чужом сайте. Сегодня мы поговорим о двух разных типах XSS-атак, наглядно на них посмотрим, и разберемся, чем они вредят пользователю. Отраженный XSSОтраженный XSS – это атака, выполняемая через веб-сервер, но не хранящаяся в коде или базе данных. Так как она нигде не хранится, хозяин сайта может и не подозревать, что его атакуют. Чтобы продемонстрировать эту атаку, пойдем на отличный тренировочный сайт от Google - XSS Game. На этом сайте несколько упражнений на выполнение XSS-атак. Они возрастают по сложности по мере вашего прогресса. Попробуем выполнить первое из них. На странице вы увидите простое поле поиска и кнопку. Для выполнения атаки вам нужно напечатать вот что: <script>alert("XSS here!")</script> в этом текстовом поле, а затем нажать на кнопку. Вы увидите, как ваше сообщение, "XSS here!", всплывет в новом окне. Что тут произошло? Вы отправили скрипт, инициирующий всплывающее окно предупреждения, на сервер. Код клиентской части не защищен от выполнения такого скрипта, поэтому сайт его исполняет. Вы, возможно, думаете "Ну да, это забавно, но как злоумышленник воспользуется этим, чтобы меня взломать? Я печатаю в моем собственном окне поиска". Один из способов – это фишинговые ссылки. Допустим, вы хозяин сайта. Злоумышленник может создать ссылку, ведущую на ваш сайт, и прицепит к ее концу скрипт, к примеру, вот так: ?query=%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E. (это та же самая наша атака, только в HTML-кодировке). Злоумышленник может отправить эту ссылку в письме ничего не подозревающему пользователю сайта, оформив письмо так, чтобы оно выглядело полученным от вас. Когда человек кликнет по ссылке, скрипт переместится на ваш сайт, а затем выполнится. Злоумышленник составит скрипт так, что вместо безобидного сообщения "XSS here!" он будет содержать сообщение, приглашающее пользователя взаимодействовать с ним, дабы получить, к примеру, номер учетной записи пользователя и другую секретную информацию. Сохраненный XSSСохраненный XSS – это атака, при которой зловредный скрипт реально хранится в базе данных или коде сайта, поэтому выполняется, как только пользователь перемещается на страницу или ссылку. Это может произойти, если создатель сайта недостаточно защитил базу данных бэкэнда. Давайте посмотрим, как работает эта атака, выполнив второе упражнение XSS Game. Чтобы перейти к нему, нужно выполнить первое, поэтому следуйте инструкциям из первой части статьи. Второе упражнение – это чат-приложение. Чтобы справиться с ним, вам нужно добавить в приложение текст, который инициирует скрипт. Это можно сделать, напечатав следующее: <img src='foobar' onerror='alert("xss")'> Как только вы опубликуете это, вы увидите попап-окошко с сообщением "XSS alert!". И не только! Если вы уйдете с этой страницы и вернетесь назад, вы снова увидите окошко. Атака хранится в вашем комментарии на странице чата, и покажет всплывающее окно всем, кто перейдет туда. Давайте разберем наш скрипт, чтобы понять, что же он делает: <img src='foobar' onerror='alert(“xss”)'> Красный текст означает, что мы передаем изображение. <img src='foobar' onerror='alert(“xss”)'> Синий текст сообщает серверу источник изображения. Тут-то и таится фокус – такого URL, как "foobar", не существует, и картинка не может загрузиться. <img src='foobar' onerror='alert(“xss”)'> Зеленый текст сообщает серверу, что в случае ошибки нужно показать всплывающее окно с текстом "XSS". Так как мы настроили все так, что ошибка будет выдаваться всегда, этот попап всегда будет появляться. Один из способов использования сохраненных XSS – это имитация окна авторизации. Когда пользователь переходит на взломанный сайт, он увидит окно авторизации, которое выглядит совсем как настоящее. Введя свой логин и пароль, он отправит их злоумышленнику, который сможет использовать их для авторизации и имитации своей жертвы. |
