Очень круто, что появился такой замечательный канал. На русском ютубе мало качественного контента по кибербезу. А тут не только полезная информация, но и грамотная подача, красивый голос и приятный автор канала. Идеально!
@@yoshimitsu7723по поводу тюрьмы кста: у нас хакеры не сидят. Вообще. Им сразу предлагают на гос-во работать, так сказать предложение от которого невозможно отказаться. На странице розыска фбр половина лиц это русские хакеры, которые чиллят в Москве, ведут инсту и вообще никак не скрываются (кейс Богачева, например). Так что нет, реальнее получить срок за репост, чем за киберкрайм.
Всё просто замечательно! Я с нетерпением ждал выхода этого видео. 😊 Было бы увлекательно узнать, как именно осуществляется защита и как можно реализовать данную меру безопасности.
Я все ждал, когда уязвимость будет продемонстрирована на каких-нибудь реальных сайтах -- хотя бы на не очень известных, потому что заявление о том, что такие уязвимости есть на известных и крупных сайтах, слишком уж смелое. Такое возможно только в очень редких случаях, если разработчик слишком уж сильно косякнул. В то же время в ролике мало внимания уделено тому, как избежать этой уязвимости при разработке. Плюс видео -- уязвимость хорошо описана и наглядно показана суть работы, за это автору респект
На реальных проектах показывать запрещено на законодательном уровне, если нет согласия. А согласия никто не даст. Если интересно посмотреть какие XSS были найдены на других сайтах - можно почитать репорты на HackerOne например
Большинство реальных проектов уже используют защиту, если раньше ее не было, сейчас используют защиту разного рода, от нджинкса прослойку на введённые данные, так бд, так фронтовые валидации, так шаблонизаторы. Если же защиты нет, вполне вероятно, что ничего из этого не используют, либо отключили специально.
На самом деле эта уязвимость часто встречается, но не так очевидно, как показано в видео. То, что она есть везде это не так, но то, что она есть на многих сайтах - это так. Чтобы от нее защититься нужно экранировать любой пользовательский ввод. Это часто забывается так как сначала делается, например, отображение данных, а через пол года получение или наоборот.
не знаю, с каких времен я превратился в человека, который кроме лайков может ставить еще и дизлайки на ютубе на плохие ролики(не вам), и писать подобные комментарии, но видос просто прекрасный, плюс в добавок и полезный, поэтому желаю вам всего хорошего и советую распространить данный видеоролик для как можно больших людей, чтобы они хотя бы осознавали существование таких вещей...
Наверное есть безопасные фреймворки, типа Spring для джавы. Не сталкивался с необходимостью обрабатывать инпут, поскольку фреймворк под капотом делает всю эту рутину
на любом сайте - который посещает более тысячи человек - эта чушь давно не актуальна. Видео сделано для набирания подписчиков - которые по названию ролика - будут думать - что здесь то их научат....
@@user-zf5vn2lw8bя имел ввиду что я ждал нового ролика я давно уже занимаюсь в этой области повер я знаю но всё ешё есть много xss уезвимостей я сам иногда прибигал к xss
@@user-zf5vn2lw8bxss с мутацией будет актуально всегда, главное знать как конкретно написать код, чтоб он пройдя через защиту сайта преобразовался во вредонос
@@user-zf5vn2lw8b1 я ждал ролика от этого блогера по потому что мне нравится его контент. 2 я не раз видел xss уезвимости на разных сайтах даже на сегодняшний день их можно увидеть на bug bounty. 3 в интернете есть много кликбэйтов и подобных описаний роликов на эту тему и не только так что это в полне обычное дело. 4 в ролике он отлично объяснил тему даже получше чем у некоторых блогеров с 1-2 mil на канале. 5 почти каждый ролик которые загружен на youtube сделан для набора сабов
Расскажи пожалуйста что за sso и что за практическая уязвимость перед sso, из того что я читал, выходило что это глупая теоретическая уязвимость, но не практическая
А можно вопрос про xss. Я жто обсуждал со знакомыми и мы не пришли к какому то консенсусу. Ровно как и Вы мои знакомые топят что ответсвенность должна лежать на разработчике. Но с моей точки зрения, к примеру, фронтенд должен делать именно то для чего он предназначен - рисковать UI. Для безопасности на уровне запросов это должно фильтроваться бэкендом. На уровне контента веб сервером. Для этого и есть WAF/ModSecurity. Почему я не прав?
По монтажу видео. Есть куда расти ) Названия терминов надо дублировать на видео. Тряска - лишнее, либо уменьшить амплитуду. Ну и много так по мелочи: звук, голос, ударения в предложениях, паузы и т.п. По контенту: делай шортсы с введением в проблематику, а в закрепе или в описании (что лучше, тк там ссылки нормально работают, в отличие от комментария; про "перевод" -- знаю, но это работает через раз, поверь). Как говорится «делайте это упражнение по утрам и Ваш 1 млн зрителей скажут спасибо».
Этой атаке 500 лет, и от нее давно научились защищаться кто угодно, даже лохозавры со скиллбоксов и гикбрейнсов. Ща уже самый простенький сайт на юкозе или еще каком-нибудь говне такой атакой не вскроешь толком. Ща уже днем с огнем не сыщешь реальный сайт, где каждое поле ввода не экранируется. Если лохозавр на фронте это забыл запилить, то какой-нибудь пхпшник полюбас хтмлспешалчарс пихнул предусмотрительно, или наоборот.
да такое встречается, но еще с незапамятных времен, лет 15 назад, бесплатные движки, не будем о других багах) в базовых настройках внедряли фильтры и давольно неплохие, можно было вообще все запретить в джумле, друпале, вп был попроше) там в принципе беда была такая, да и наверное есть, давно не пользуюсь, в плагинах к движку. помню была какая то галлерея, на вп или джумлу, точно не помню, так там нехитрыми манипуляциями можно было вообще через нее получить доступ к каталогу хоста) и не важно, что расширения к не имеют отношения к мультимадиа) хоть htaccess правь) причем сама галерея его открывала без вопросов, позволяла редактировать и сохранять))
Помню какое-то время был прям шквал подобных атак в вк. Взламывали страницы таким образом. Типа пишет тебе в вк красоткка какая-нибудь "Привет! Ты мне понравился и тд и тп. Напиши мне, только не на этот аккаунт а на другой" и ссылку кидает. Если перешел по ссылке, тебя взломали
Случайно на канале оказался. Для нубов доходчиво рассказано про xss. Я так понимаю для защиты от них подойдут браузерные расширения , (напр. No script)?
автору респект! однако ломать CTF лабу это всё равно что иметь отношения с искусственной женщиной 🙂в смысле на практике злоумышленник всё чаще и чаще в наше время встретит WAF, обход которого отдельная интересная тема.
Вставка скрипта в комментарии - это чисто криворукость программиста и самой технологии которую он использует. Если строго задать в теге что должен быть текст при ответе сервера, то никак не вставить потом тег скрипта.
Я конечно не хейтер (шутка), но мне кажется это уже не есть проблемой. Я в вебдеве уже лет как 8, но ещё в 16м-18м годах уже было зашкварно не обрабатывать xss. 15 лет назад это может и было проблемой, но сейчас это вроде как по умолчанию на любых курсах по вебдеву (надеюсь 😅). С другой же стороны для простых пользователей - это бы хорошо знать, но я думаю что не в таком формате стоит подавать проблему xss. Но в любом случае видео очень даже😮
Скриптуйте все, принимайте только то что нужно принимать, фильтруйте input пользователя, и будет вам счастье. Согласен что тут показаны простые примеры, еслли сайт более комплексный с большим количеством принимаемой информации, и всяких запросов, то реализовать такую защиту сложнее, в таком случае создавайте функции которые будут заниматься санитайзингом Input от пользователя, и обворачивайте в них все input. По поводу XSS в ссылке, гет параметр search в данном случае такой же принимаемый параметр который также должен быть отфильтрован. Помните правило backend - никогда не доверяй принимаемой информации.
Основа основ -- любой пользовательский ввод нужно обрабатывать ВСЕГДА, раньше о такой банальщине даже речь не шла... Эх Крастер как же ты был прав, зашкварная деградация
Ты про cors умолчал бо видео было бы не таким сильным? Ну и селф xxs это зачастую имеют ввиду xxs на страницах доступных только пользователю и не доступным извне. А ввести код в консоль это не xss. Ты прав они много где есть но что толку с них на ноунейм сайтах.
@@user-rj4zb2co7l За что выставляешь клоуном? Я говорю чистую правду. И ты знал что есть переменные? Первая переменная оригинальный HTML, а другая переменная это комментарий вредный, ты у комментария просто заменяешь символы на ASCII код и всё, объединяем и готово! Javascript код работает и комментарии страшные можно посмотреть без вреда клиента.
@@mrroblick А в HTML это (<) ASCII кодом называется? Я просто с XML/HTML не особо знаком, Видел такие штуки в XML ресурсах .apk-шек Позже, всё же планирую знакомиться с XML, это полезное знание
хорошо объяснил "сорта XSS" ! я про них знал на практике, но не различал в чёткой терминологии, ну разве что хранимый от переданного отличал т.к. "интуитивно" это понятно.
Брат вы сделали всё правильно надо было сперва " закрыт и сначало открыть его alert("xss") вот тогда она сработает НА вопрос какой исходной код будет "alert("xss")
На удивление даже в 2024 такое встречается. Во-первых, всякие самописные сайтики, в частности в сфере мультиплеерных игр, админы серверов хотят показать список игроков и зачастую не очищают ники. Во-вторых, даже когда используется фреймворк, разработчику хочется покрасить часть текста (в основном бывает в сообщениях в чате), добавить смайлики и т.д., и он сам отключает очистку (скажем v-html в vue и т.д.) Да что греха таить. Однажды и у себя в коде такое словил
лол вы ток что узнали, я ещё 3 месяца назад таким образом скидывал в ютуб в коменты картинки видео и игры.(код подгружает с моего сервера и отображает) В приложении не работает.
@@mmds. Уже всё уже ты опоздал, Работало ток в веб версии и уже пофиксили, но там принцип тот же вписываешь код с загрузкой картинки по ссылке и всё. Где-то был ролик по урокам где показывают наглядно поищи в поиске.
Жаль, что как и SQL инъекции, которые практически то же самое, такую уязвимость зачастую не удастся провернуть и на 20 летнем сайте написаном на голом PHP 99% только начавших учиться разработке не знают что такое SQL Injectiion и XSS, как и то, что всю работу по закрытию таких уязвимостей за них уже делает их фреймворк
Наука
![[СТРИМ] Summer Game Fest 2024 (00:00) + Day of the Devs (02:00) + Devolver Direct (03:00)](http://i.ytimg.com/vi/692uu0YgwUI/mqdefault.jpg)
![Natti Natasha - Quiéreme Menos [Official Video]](http://i.ytimg.com/vi/R57RrTjRGxk/mqdefault.jpg)
Очень круто, что появился такой замечательный канал. На русском ютубе мало качественного контента по кибербезу. А тут не только полезная информация, но и грамотная подача, красивый голос и приятный автор канала. Идеально!
И добавить нечего. Поддерживаю на 💯.
поставь яндекс браузер
А какие есть ещё каналы, если не секрет?)
@@mathnightmareи меня пните если есть аналоги, хочется больше контента
смотрит 1000, вникает 100, делают 10. лайк + подписка!
А что делает 5?
в тюрьме сидят. На каждую хитрую жопу найдется болт с левой резьбой
@@yoshimitsu7723по поводу тюрьмы кста: у нас хакеры не сидят. Вообще. Им сразу предлагают на гос-во работать, так сказать предложение от которого невозможно отказаться. На странице розыска фбр половина лиц это русские хакеры, которые чиллят в Москве, ведут инсту и вообще никак не скрываются (кейс Богачева, например). Так что нет, реальнее получить срок за репост, чем за киберкрайм.
Огонь 🔥 Благодарю за труд, очень интересно!!!! Спасибо!!!!
Спасибо за контент, отличная подача и доступный материал, добра тебе, мужик.
Бро, ты ОЧЕНЬ крут! Жги еще!))
Спасибо!!!
Чудесный видеоролик! Большое спасибо!🖐
Всё просто замечательно! Я с нетерпением ждал выхода этого видео. 😊 Было бы увлекательно узнать, как именно осуществляется защита и как можно реализовать данную меру безопасности.
Спасибо, за такой интересный контент!!!🔥🔥🔥
Бро лайк подписка однозначно все развернуто и интересно подача инфы на высшем уровне успехов тебе в этом :)))
Спасибо большое за видос!
Я все ждал, когда уязвимость будет продемонстрирована на каких-нибудь реальных сайтах -- хотя бы на не очень известных, потому что заявление о том, что такие уязвимости есть на известных и крупных сайтах, слишком уж смелое. Такое возможно только в очень редких случаях, если разработчик слишком уж сильно косякнул. В то же время в ролике мало внимания уделено тому, как избежать этой уязвимости при разработке. Плюс видео -- уязвимость хорошо описана и наглядно показана суть работы, за это автору респект
На реальных проектах показывать запрещено на законодательном уровне, если нет согласия. А согласия никто не даст. Если интересно посмотреть какие XSS были найдены на других сайтах - можно почитать репорты на HackerOne например
Большинство реальных проектов уже используют защиту, если раньше ее не было, сейчас используют защиту разного рода, от нджинкса прослойку на введённые данные, так бд, так фронтовые валидации, так шаблонизаторы. Если же защиты нет, вполне вероятно, что ничего из этого не используют, либо отключили специально.
Просто признай что заголовок кликбейт не нужно оправдываться, ты не найдешь на большинстве популярных сайтах xss,
Единственная проблема хсс - отсутствие проверки инпута
Ура! 5-е видео (:
Очень полезная информация, благодарю 🙏
Спасибо автору за труд.
круто! успехов в развитии канала!
Спасибо, всё грамотно и без понтов! :)
Продолжай в том же духе. Очень крутой видос! Сразу подписался.
Парень, видос шикарный, так держать, отличное объяснение, отличный пример, подписка лайк.
Информативно! Спасибо
чел хорошо подал материал и приятная атмосфера будем надеятся что он резко не исчезнет как некоторые
Очень хорошо поставлена речь, из-за чего материал воспринимается очень легко. Спасибо!
Потрясающе, экстремально интересно
Наконец то нашёл нормальный видос по инъекциям XSS, спасибо
Спасибо, до этого не было конечного представления как это работает, а оказывается все так просто
Хорошие объяснение, ждем еще
Бро ток не останавливайся!🎉🎉🎉🎉🎉
Очень полезно видео, спасибо большое!
Да ты сокровище 🔥
Если честно, это было супер полезно
Инфа 💯 полезности! Спасибо
Очень хорошо обьяснил!!! Можно такое же видео по CORS и CSP?))
Так все хорошо объяснил.
годно. знал и читал про xss, но на примерах сильно интереснее
Интересное видео! Автору респект. Давно интересует тема инфо безопасности и киберзащита. Но изучать всерьез все времени нет.
Спасибо пупсик ❤
На самом деле эта уязвимость часто встречается, но не так очевидно, как показано в видео. То, что она есть везде это не так, но то, что она есть на многих сайтах - это так. Чтобы от нее защититься нужно экранировать любой пользовательский ввод. Это часто забывается так как сначала делается, например, отображение данных, а через пол года получение или наоборот.
Спасибо. Теперь бы ещё про то, что могут сделать вредоносные скрипты по-подробнее
не знаю, с каких времен я превратился в человека, который кроме лайков может ставить еще и дизлайки на ютубе на плохие ролики(не вам), и писать подобные комментарии, но видос просто прекрасный, плюс в добавок и полезный, поэтому желаю вам всего хорошего и советую распространить данный видеоролик для как можно больших людей, чтобы они хотя бы осознавали существование таких вещей...
Хорошая подача
Так ну теперь методы сериализации и десериализации нужны. За видео лайк!
Наверное есть безопасные фреймворки, типа Spring для джавы. Не сталкивался с необходимостью обрабатывать инпут, поскольку фреймворк под капотом делает всю эту рутину
Вроде сейчас все сайты на фреймворках пишутся, в том же laravel допустим есть защита от любого рода xss, sql injections, разве нет?
Я ждал этого момента
на любом сайте - который посещает более тысячи человек - эта чушь давно не актуальна. Видео сделано для набирания подписчиков - которые по названию ролика - будут думать - что здесь то их научат....
@@user-zf5vn2lw8bактуальна...
@@user-zf5vn2lw8bя имел ввиду что я ждал нового ролика я давно уже занимаюсь в этой области повер я знаю но всё ешё есть много xss уезвимостей я сам иногда прибигал к xss
@@user-zf5vn2lw8bxss с мутацией будет актуально всегда, главное знать как конкретно написать код, чтоб он пройдя через защиту сайта преобразовался во вредонос
@@user-zf5vn2lw8b1 я ждал ролика от этого блогера по потому что мне нравится его контент. 2 я не раз видел xss уезвимости на разных сайтах даже на сегодняшний день их можно увидеть на bug bounty. 3 в интернете есть много кликбэйтов и подобных описаний роликов на эту тему и не только так что это в полне обычное дело. 4 в ролике он отлично объяснил тему даже получше чем у некоторых блогеров с 1-2 mil на канале. 5 почти каждый ролик которые загружен на youtube сделан для набора сабов
Любой сайт, который написан не третиклассником экранирует весь вводф. Так себе кликбейт, если честно.
К сожалению, большая часть сайтов написано людьми по развитию третьеклассниками
Расскажи пожалуйста что за sso и что за практическая уязвимость перед sso, из того что я читал, выходило что это глупая теоретическая уязвимость, но не практическая
А можно вопрос про xss. Я жто обсуждал со знакомыми и мы не пришли к какому то консенсусу. Ровно как и Вы мои знакомые топят что ответсвенность должна лежать на разработчике. Но с моей точки зрения, к примеру, фронтенд должен делать именно то для чего он предназначен - рисковать UI. Для безопасности на уровне запросов это должно фильтроваться бэкендом. На уровне контента веб сервером. Для этого и есть WAF/ModSecurity. Почему я не прав?
Если есть возможность, сними видос про Sql уязвимости
По монтажу видео. Есть куда расти )
Названия терминов надо дублировать на видео. Тряска - лишнее, либо уменьшить амплитуду. Ну и много так по мелочи: звук, голос, ударения в предложениях, паузы и т.п.
По контенту: делай шортсы с введением в проблематику, а в закрепе или в описании (что лучше, тк там ссылки нормально работают, в отличие от комментария; про "перевод" -- знаю, но это работает через раз, поверь).
Как говорится «делайте это упражнение по утрам и Ваш 1 млн зрителей скажут спасибо».
Сейчас бы в 2024 году слушать про XSS :)
неделю назад увидел на сайте с сериалами комментарий с тегами
я тогда подумал еще, неужели он пытался запустить код введя свои теги в DOM?
Помню даже ВКонтакте нашли уязвимость XSS (Reflected). И ещё даже в сайтах Минобороны США
оговорился, не серилизация или фильтрация инпута html, а санитайзинг
санитайзинг так же применяется для защиты от SQL инъекций
Очень познавательно Пожалуй Подпишусь на канал
Этой атаке 500 лет, и от нее давно научились защищаться кто угодно, даже лохозавры со скиллбоксов и гикбрейнсов. Ща уже самый простенький сайт на юкозе или еще каком-нибудь говне такой атакой не вскроешь толком. Ща уже днем с огнем не сыщешь реальный сайт, где каждое поле ввода не экранируется. Если лохозавр на фронте это забыл запилить, то какой-нибудь пхпшник полюбас хтмлспешалчарс пихнул предусмотрительно, или наоборот.
В декабре пробовал, с десяток сайтов получилось набрать с такой проблемой
@@dmitrygrishin6497 И чем помогла XSS на этих сайтах? И пример сайта тогда в студию
Если со скиллбоксов и гикбрейнсов идут одни лохозавры, то где тогда обучаться на КБ? Можете подсказать?
@@bread_tyan Самому дома на ютубах и прочих ресурсах полезных, очевидно же
да такое встречается, но еще с незапамятных времен, лет 15 назад, бесплатные движки, не будем о других багах) в базовых настройках внедряли фильтры и давольно неплохие, можно было вообще все запретить в джумле, друпале, вп был попроше) там в принципе беда была такая, да и наверное есть, давно не пользуюсь, в плагинах к движку.
помню была какая то галлерея, на вп или джумлу, точно не помню, так там нехитрыми манипуляциями можно было вообще через нее получить доступ к каталогу хоста) и не важно, что расширения к не имеют отношения к мультимадиа) хоть htaccess правь) причем сама галерея его открывала без вопросов, позволяла редактировать и сохранять))
го видос по обходу hsts
Помню какое-то время был прям шквал подобных атак в вк. Взламывали страницы таким образом. Типа пишет тебе в вк красоткка какая-нибудь
"Привет! Ты мне понравился и тд и тп. Напиши мне, только не на этот аккаунт а на другой" и ссылку кидает.
Если перешел по ссылке, тебя взломали
Случайно на канале оказался. Для нубов доходчиво рассказано про xss. Я так понимаю для защиты от них подойдут браузерные расширения , (напр. No script)?
Да, отключение js на сайте отрубает возможность выполнять скрипты на вашей машине
очень интересное видео, но есть один нюанс
Кравчик. Лайк и подписка. Очень доступно всё объяснил и показал. Какой же java script плохой ....
автору респект! однако ломать CTF лабу это всё равно что иметь отношения с искусственной женщиной 🙂в смысле на практике злоумышленник всё чаще и чаще в наше время встретит WAF, обход которого отдельная интересная тема.
А откуда вставочка на 0:02 ?
А против них 🤔что применять?
Них я не понял, но очень интересно!
Вставка скрипта в комментарии - это чисто криворукость программиста и самой технологии которую он использует. Если строго задать в теге что должен быть текст при ответе сервера, то никак не вставить потом тег скрипта.
Хорошо стелешь
презентер - Бро из Литвы ?
Только на 10 минуте я заметил, что ты сидишь не на диване 😮
Уфффф
Я конечно не хейтер (шутка), но мне кажется это уже не есть проблемой. Я в вебдеве уже лет как 8, но ещё в 16м-18м годах уже было зашкварно не обрабатывать xss. 15 лет назад это может и было проблемой, но сейчас это вроде как по умолчанию на любых курсах по вебдеву (надеюсь 😅). С другой же стороны для простых пользователей - это бы хорошо знать, но я думаю что не в таком формате стоит подавать проблему xss. Но в любом случае видео очень даже😮
Скриптуйте все, принимайте только то что нужно принимать, фильтруйте input пользователя, и будет вам счастье. Согласен что тут показаны простые примеры, еслли сайт более комплексный с большим количеством принимаемой информации, и всяких запросов, то реализовать такую защиту сложнее, в таком случае создавайте функции которые будут заниматься санитайзингом Input от пользователя, и обворачивайте в них все input.
По поводу XSS в ссылке, гет параметр search в данном случае такой же принимаемый параметр который также должен быть отфильтрован.
Помните правило backend - никогда не доверяй принимаемой информации.
Ну а если про видео, молодец, легко и понятно для всех объяснил что такое xss
Основа основ -- любой пользовательский ввод нужно обрабатывать ВСЕГДА, раньше о такой банальщине даже речь не шла... Эх Крастер как же ты был прав, зашкварная деградация
Ты про cors умолчал бо видео было бы не таким сильным?
Ну и селф xxs это зачастую имеют ввиду xxs на страницах доступных только пользователю и не доступным извне. А ввести код в консоль это не xss.
Ты прав они много где есть но что толку с них на ноунейм сайтах.
Да вот только жс не выдает сессию из куков уже лет 20
CORS, не?
Не легче просто удалять лишний html, или вообще рендерить все как просто текст?
На представленных в видео сайтах не было таких алгоритмов защиты
@@youniton4639 ну, это возможно только на сайтах, которые сделаны индусами в трущобах.
Можно легко обойти XSS Payload, надо просто заменить символы , на ASCII код < >
и обработчик JS проигнорирует этот код 🤡
@@user-rj4zb2co7l За что выставляешь клоуном? Я говорю чистую правду. И ты знал что есть переменные? Первая переменная оригинальный HTML, а другая переменная это комментарий вредный, ты у комментария просто заменяешь символы на ASCII код и всё, объединяем и готово! Javascript код работает и комментарии страшные можно посмотреть без вреда клиента.
@@mrroblick А в HTML это (<) ASCII кодом называется? Я просто с XML/HTML не особо знаком,
Видел такие штуки в XML ресурсах .apk-шек
Позже, всё же планирую знакомиться с XML, это полезное знание
Есть ли рабочий иструмент позволяющий автоматически аншортить линки?
Много ресурсов в интернете. Можешь просто вбить “unshort url” и тебе выкинет много сайтов
@@MulabarrrЯ писал - автоматически - то есть например, при наведении курсора на линк
Почему не в МИУ броу
хорошо объяснил "сорта XSS" ! я про них знал на практике, но не различал в чёткой терминологии, ну разве что хранимый от переданного отличал т.к. "интуитивно" это понятно.
как задавать вопросы в тг, если комменты закрыты?(
Есть чатик, он в описании канала)
Брат вы сделали всё правильно надо было сперва " закрыт и сначало открыть его alert("xss") вот тогда она сработает
НА вопрос какой исходной код будет "alert("xss")
back to the 90x hacking
Гилфойл?
😁
А как же 272 УК?
Гипотетически, будучи доброжелателем, тебе могут сказать не спасибо, а написать, мол на тебя уже пишется заява))
Ну тогда только баг баунти программы. С ними проблем никаких
На удивление даже в 2024 такое встречается.
Во-первых, всякие самописные сайтики, в частности в сфере мультиплеерных игр, админы серверов хотят показать список игроков и зачастую не очищают ники.
Во-вторых, даже когда используется фреймворк, разработчику хочется покрасить часть текста (в основном бывает в сообщениях в чате), добавить смайлики и т.д., и он сам отключает очистку (скажем v-html в vue и т.д.)
Да что греха таить. Однажды и у себя в коде такое словил
Воно ж не тільки так може використовуватись. Там багато фреймворків для роботи
А как могут взломать вк?
Вероятность встретить такое в 2024 стремиться к нулю...
С помощью сканера я нашел из 300сайтов на 20 сайтах xss
> Есть везде.
Понятно, чел до сих пор не научился санетизировать ввод и вывод...
А на дворе шёл 2024 век...
XSS это подтип атаки на веб-системы, а не уязвимость, ну это если быть точным
Это уязвимость если игнорируется банальный контроль типа вводимых данных на фронтенде и бэкенде.
не знал что у галкина есть ютуб канал
alert("xss")
как взломать пентагон c помощю калькульятора?
Попробуйте поделить на ноль, всегда помогало))
Да лааааааадно????
лол вы ток что узнали, я ещё 3 месяца назад таким образом скидывал в ютуб в коменты картинки видео и игры.(код подгружает с моего сервера и отображает)
В приложении не работает.
интересно глянуть, покажи где на твои комменты поглядеть можно))
@@mmds. Уже всё уже ты опоздал, Работало ток в веб версии и уже пофиксили, но там принцип тот же вписываешь код с загрузкой картинки по ссылке и всё. Где-то был ролик по урокам где показывают наглядно поищи в поиске.
Жаль, что как и SQL инъекции, которые практически то же самое, такую уязвимость зачастую не удастся провернуть и на 20 летнем сайте написаном на голом PHP
99% только начавших учиться разработке не знают что такое SQL Injectiion и XSS, как и то, что всю работу по закрытию таких уязвимостей за них уже делает их фреймворк
На любой фреймворк все показанные тут уязвимости не действуют
Старая тема. Очень старая. Я еще в 2006 году этим баловался. Тогда не было поголовно у всех защиты и в целом все было проще.
🙄