CSP Evaluator – czy Twoja polityka CSP jest bezpieczna?

csp evaluator

CSP (Content Security Policy) jest mechanizmem bezpieczeństwa zaimplementowanym we wszystkich współczesnych popularnych przeglądarkach internetowych. Jego głównym celem jest ochrona przed atakami działającymi po stronie frontendu – w szczególności przed podatnościami typu XSS. Pewne powszechne błędy popełniane przy tworzeniu polityki CSP powodują możliwość jej obejścia. Aby upewnić się, że takowych nie… Continue reading

Testowanie pod kątem wstrzykiwania kodu javascript.

Testowanie pod kątem wstrzykiwania kodu javascript

XSS to atak pozwalający na wstrzyknięcie i wykonanie mogącego wykonać złośliwe działanie kodu HTML lub JavaScript. Może to zostać wykorzystane do kradzieży krytycznych danych (na przykład danych sesji) z plików cookie. Jako, że kod zostaje wykonany w kontekście podatnej aplikacji umożliwia to wykonanie innych ataków jak phishing, logowanie klawiatury, czy przekierowanie… Continue reading