Új hozzászólás Aktív témák

• martonx veterán

  #9058

  #9056 nevemfel

  2021-12-19 12:06:41

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  martonx

  veterán

  #9056 nevemfel

  #9056 nevemfel

  Nekem úgy tűnik, hogy itt a checkmarx kissé paranoiás. Nem harmadik féltől jön az ajax response.

  Igen, bár tegyük hozzá, hogy nem csak harmadik féltől jöhetnek ártó kódok
  Elég ha valaki location.href = 'myhackersite.url' user névvel regisztrál be, és a felületen megjelenítik a user nevet
  Szóval persze biztonsági kockázat, de nem annyira ördögtől való (pláne nem a modern js frameworkök előtt) összerakni a html-t, saját backend hívásokból.
  Ezért is írtam:
  1. megoldás: újraírni a rendszert
  2. checkmarx-nál 100% biztos vagyok, hogy lehet paraméterezni, hogy mire riasszon be, és mire ne. Ez esetben a fejlesztő, ha biztos benne, hogy ezek nem 3rd party url hívások, és kivédte, hogy nem kerülhet ártó szándékú js a saját adatbázisba, akkor igaziból nulla a kockázat.

• lafaty80 addikt

  #9057

  #9056 nevemfel

  2021-12-19 12:02:20

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  lafaty80

  addikt

  #9056 nevemfel

  #9056 nevemfel

  Nekem úgy tűnik, hogy itt a checkmarx kissé paranoiás. Nem harmadik féltől jön az ajax response.

  Az egyébként sokszor kellett minden prog nyelven a csapatnak kérnie, hogy vizsgálják felül. Meglátom most mit reagálnak.

Új hozzászólás Aktív témák