В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), которая занимает около 30% рынка платформ для создания интернет-магазинов (на базе Magento работает более 250 тысяч сайтов), выявлено (https://blog.sucuri.net/2016/01/security-advisory-stored-xss...) 20 уязвимостей (https://magento.com/security/patches/supee-7405). Проблемы уже устранены (https://magento.com/security/patches/magento-201-security-up...) в выпусках Magento 1.9.2.3, 1.14.2.3 и 2.0.1.
Две XSS-проблемы помечены как критические. Первая проблема позволяет (https://blog.sucuri.net/2016/01/security-advisory-stored-xss...) при просмотре администратором параметров заказа отобразить произвольный JavaScript-код, добавленный через форму регистрации путём задания специально оформленного значения в поле с email (например, можно указать "><script>alert(1);</script>"@mail.ru). Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса и получить полный доступ к системе. Вторая проблема даёт возможность подставить JavaScript-код в примечание к заказу при использовании модуля PayFlow Pro, впоследствии данный код будет выполнен при просмотре администратором списка заказов.<center><a href="https://blog.sucuri.net/wp-content/uploads/2016/01/Magento-S... src="https://www.opennet.me/opennews/pics_base/0_1453792900.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
URL: https://blog.sucuri.net/2016/01/security-advisory-stored-xss...
Новость: http://www.opennet.me/opennews/art.shtml?num=43759
>>Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеансаНе по холиварить, просто интересно: из каких соображений эти куки не http only ? И почему админские сессии не привязываются к IP ?
Потому что разработчики были так заняты темплейтами на XML, что совсем забыли что у них могут быть какие то там XSS и сессии.
Онотоле голова, рубит прямо в корень проблемы.
По-моему гораздо более интересный вопрос - как в здоровенной, распространённой и много лет существующей получилось, что что-то может быть введено без фильтрации и выведено без экранирования? По идее, такие вещи должны на полном автомате каким-то слоем реализовываться.
Справедливости ради - тот факт, что разрабам приходится тратить своё время и следить за всей это хернёй является прямым недостатком html и отличным аргументом в пользу его замены на что-то более прогрессивное.
HTML язык разметки, а не програмиирования. Попытки использования инструмента не по назначению ничем хорошим обычно не заканчиваются. И список web-технологий, только названия которых уже занимают больше А4 мелким шрифтом это подтверждает.С решением согласен: если уж хочется динамического web-программирования, нужно создавать среду для этого. И лучше чтобы это было не WWW и не HTTP. Пусть это будет JWS (Java Web Script) и JTTP и открываться будет что-то типа jws://jttp.site.ru
ну и сидите вдвоем на своем JWS/JTTP, фанатики.
Если оно реально будет работать и реально будет обещать профит - все может оказаться не так незыблемо, как кажется.
Браузеров сейчас немного, и они постоянно ищут, чем бы выдвинуться (даже мелкомягкий), так что новый протокол вполне могут внедрить - сначала экспериментально, потом уверенно.
Сервер по юзер-агенту определит, что браузер уже современный, сделает редирект с http: на jws: - и армия пользователей начнет расти сама собой, без всякого активного участия с их стороны...
Сначала крупные порталы, для которых и процент пользователей - это масса, потом интранеты подхватят, банки-платежные системы, а там и в широкий мир пойдет.
Учитывая, что WebAssembly уже на взлёте, и что это совместный проект мозиллы, гугла и майкрософта - ни у каких JWS/JTTP шансов вообще никаких, что весьма радует, так как избавляет от привязки к "единственно правильной" среде. А про вторую часть можно забыть уже сейчас - с транспортом никаких проблем нет, уже перелопатили, введя HTTP/2 и перед этим WebSockets - оба вполне приличны.
Оу, представляю сколько малварей появится...
