Сама презентация:

Невоторые полезные ссылки

 

 


Уже послезавтра (ну ладно, почти послезавтра) я буду делать доклад на очередной встрече харьковских QA - QAClub'е. И все было бы ничего, если б в анонсе встречи не были добавлены следующие строчки:

"Докладчики постараются рассказать на уровне, который будет доступен и для людей, только знакомящихся с темой безопасности web-приложений. Для понимания доклада про XSS (cross site scripting) знание JavaScript не обязательно".

После этого некоторые самые вкусные интересные вещи о XSS решил не рассказывать. Возможно, если доклад получится хорошим и будут желающие - будет вторая чать, более хардкорная, а пока планирую рассказать следующее:

  • Безопасность и Web - последние тредны о security в web'е.
  • JavaScript и HTML - пару слов об этом, браузерах и DOM, это необходимый минимум теории, который позволит понять остальное.
  • XSS – что это такое и с чем его едят? - наконец-то расскажу что означают буквы "XSS". 
  • XSS: тогда и сейчас - от 90-х до сегодня, экскурс в историю, основные тренды.
  • Делаем первые шаги - приступаем к практике, видео реальной XSS специально для QAClub(!).
  • Как это было у них? - истории взлома известных сайтов.
  • Что дальше? - пару слов об advanced техники xss.
  • Пару слов о защите

Как-то так. Хотелось бы услышать вопрсы/предолжения/комментарии от всех, кто собирается прийти на ивент и просто интересующихся этой темой.

До встречи на QAClub 1 марта 2012г.


Навеянно постом "Asp.NET контроли і HtmlEncode". Сейчас уже многие пользуются методами HtmlEncode/HtmlDecode и UrlEncode/UrlDecode для обработки данных, которые ввел пользователь. Но эти медоты используют базовый алгоритм, что может не подходить для частных случаев, таких как использование данных в качестве атрибутов html-тегов и других. Более спецефические методы нам предоставлены в библиотеке Microsoft Anti-Cross Site Scripting Library. Более подробно о ней и ещё преимуществах написано в документации.

Также для нахождения Sql и XSS Injection предоставлены Microsoft Source Code Analyzer for SQL Injection и XSS Detect Beta Code Analysis Tool соответственно. НЕ забываем прочитать базовые вседения о безопастности веб-приложений в целом и приложений, написанных на ASP.NET в частности.