Очень круто, что появился такой замечательный канал. На русском ютубе мало качественного контента по кибербезу. А тут не только полезная информация, но и грамотная подача, красивый голос и приятный автор канала. Идеально!
@@yoshimitsu7723по поводу тюрьмы кста: у нас хакеры не сидят. Вообще. Им сразу предлагают на гос-во работать, так сказать предложение от которого невозможно отказаться. На странице розыска фбр половина лиц это русские хакеры, которые чиллят в Москве, ведут инсту и вообще никак не скрываются (кейс Богачева, например). Так что нет, реальнее получить срок за репост, чем за киберкрайм.
Я все ждал, когда уязвимость будет продемонстрирована на каких-нибудь реальных сайтах -- хотя бы на не очень известных, потому что заявление о том, что такие уязвимости есть на известных и крупных сайтах, слишком уж смелое. Такое возможно только в очень редких случаях, если разработчик слишком уж сильно косякнул. В то же время в ролике мало внимания уделено тому, как избежать этой уязвимости при разработке. Плюс видео -- уязвимость хорошо описана и наглядно показана суть работы, за это автору респект
На реальных проектах показывать запрещено на законодательном уровне, если нет согласия. А согласия никто не даст. Если интересно посмотреть какие XSS были найдены на других сайтах - можно почитать репорты на HackerOne например
Большинство реальных проектов уже используют защиту, если раньше ее не было, сейчас используют защиту разного рода, от нджинкса прослойку на введённые данные, так бд, так фронтовые валидации, так шаблонизаторы. Если же защиты нет, вполне вероятно, что ничего из этого не используют, либо отключили специально.
На самом деле эта уязвимость часто встречается, но не так очевидно, как показано в видео. То, что она есть везде это не так, но то, что она есть на многих сайтах - это так. Чтобы от нее защититься нужно экранировать любой пользовательский ввод. Это часто забывается так как сначала делается, например, отображение данных, а через пол года получение или наоборот.
Всё просто замечательно! Я с нетерпением ждал выхода этого видео. 😊 Было бы увлекательно узнать, как именно осуществляется защита и как можно реализовать данную меру безопасности.
Вставка скрипта в комментарии - это чисто криворукость программиста и самой технологии которую он использует. Если строго задать в теге что должен быть текст при ответе сервера, то никак не вставить потом тег скрипта.
Наверное есть безопасные фреймворки, типа Spring для джавы. Не сталкивался с необходимостью обрабатывать инпут, поскольку фреймворк под капотом делает всю эту рутину
да такое встречается, но еще с незапамятных времен, лет 15 назад, бесплатные движки, не будем о других багах) в базовых настройках внедряли фильтры и давольно неплохие, можно было вообще все запретить в джумле, друпале, вп был попроше) там в принципе беда была такая, да и наверное есть, давно не пользуюсь, в плагинах к движку. помню была какая то галлерея, на вп или джумлу, точно не помню, так там нехитрыми манипуляциями можно было вообще через нее получить доступ к каталогу хоста) и не важно, что расширения к не имеют отношения к мультимадиа) хоть htaccess правь) причем сама галерея его открывала без вопросов, позволяла редактировать и сохранять))
Этой атаке 500 лет, и от нее давно научились защищаться кто угодно, даже лохозавры со скиллбоксов и гикбрейнсов. Ща уже самый простенький сайт на юкозе или еще каком-нибудь говне такой атакой не вскроешь толком. Ща уже днем с огнем не сыщешь реальный сайт, где каждое поле ввода не экранируется. Если лохозавр на фронте это забыл запилить, то какой-нибудь пхпшник полюбас хтмлспешалчарс пихнул предусмотрительно, или наоборот.
не знаю, с каких времен я превратился в человека, который кроме лайков может ставить еще и дизлайки на ютубе на плохие ролики(не вам), и писать подобные комментарии, но видос просто прекрасный, плюс в добавок и полезный, поэтому желаю вам всего хорошего и советую распространить данный видеоролик для как можно больших людей, чтобы они хотя бы осознавали существование таких вещей...
Расскажи пожалуйста что за sso и что за практическая уязвимость перед sso, из того что я читал, выходило что это глупая теоретическая уязвимость, но не практическая
Скриптуйте все, принимайте только то что нужно принимать, фильтруйте input пользователя, и будет вам счастье. Согласен что тут показаны простые примеры, еслли сайт более комплексный с большим количеством принимаемой информации, и всяких запросов, то реализовать такую защиту сложнее, в таком случае создавайте функции которые будут заниматься санитайзингом Input от пользователя, и обворачивайте в них все input. По поводу XSS в ссылке, гет параметр search в данном случае такой же принимаемый параметр который также должен быть отфильтрован. Помните правило backend - никогда не доверяй принимаемой информации.
А можно вопрос про xss. Я жто обсуждал со знакомыми и мы не пришли к какому то консенсусу. Ровно как и Вы мои знакомые топят что ответсвенность должна лежать на разработчике. Но с моей точки зрения, к примеру, фронтенд должен делать именно то для чего он предназначен - рисковать UI. Для безопасности на уровне запросов это должно фильтроваться бэкендом. На уровне контента веб сервером. Для этого и есть WAF/ModSecurity. Почему я не прав?
на любом сайте - который посещает более тысячи человек - эта чушь давно не актуальна. Видео сделано для набирания подписчиков - которые по названию ролика - будут думать - что здесь то их научат....
@@user-zf5vn2lw8bя имел ввиду что я ждал нового ролика я давно уже занимаюсь в этой области повер я знаю но всё ешё есть много xss уезвимостей я сам иногда прибигал к xss
@@user-zf5vn2lw8bxss с мутацией будет актуально всегда, главное знать как конкретно написать код, чтоб он пройдя через защиту сайта преобразовался во вредонос
@@user-zf5vn2lw8b1 я ждал ролика от этого блогера по потому что мне нравится его контент. 2 я не раз видел xss уезвимости на разных сайтах даже на сегодняшний день их можно увидеть на bug bounty. 3 в интернете есть много кликбэйтов и подобных описаний роликов на эту тему и не только так что это в полне обычное дело. 4 в ролике он отлично объяснил тему даже получше чем у некоторых блогеров с 1-2 mil на канале. 5 почти каждый ролик которые загружен на youtube сделан для набора сабов
@@user-rj4zb2co7l За что выставляешь клоуном? Я говорю чистую правду. И ты знал что есть переменные? Первая переменная оригинальный HTML, а другая переменная это комментарий вредный, ты у комментария просто заменяешь символы на ASCII код и всё, объединяем и готово! Javascript код работает и комментарии страшные можно посмотреть без вреда клиента.
@@mrroblick А в HTML это (<) ASCII кодом называется? Я просто с XML/HTML не особо знаком, Видел такие штуки в XML ресурсах .apk-шек Позже, всё же планирую знакомиться с XML, это полезное знание
автору респект! однако ломать CTF лабу это всё равно что иметь отношения с искусственной женщиной 🙂в смысле на практике злоумышленник всё чаще и чаще в наше время встретит WAF, обход которого отдельная интересная тема.
Брат вы сделали всё правильно надо было сперва " закрыт и сначало открыть его alert("xss") вот тогда она сработает НА вопрос какой исходной код будет "alert("xss")
Случайно на канале оказался. Для нубов доходчиво рассказано про xss. Я так понимаю для защиты от них подойдут браузерные расширения , (напр. No script)?
Помню какое-то время был прям шквал подобных атак в вк. Взламывали страницы таким образом. Типа пишет тебе в вк красоткка какая-нибудь "Привет! Ты мне понравился и тд и тп. Напиши мне, только не на этот аккаунт а на другой" и ссылку кидает. Если перешел по ссылке, тебя взломали
Основа основ -- любой пользовательский ввод нужно обрабатывать ВСЕГДА, раньше о такой банальщине даже речь не шла... Эх Крастер как же ты был прав, зашкварная деградация
По монтажу видео. Есть куда расти ) Названия терминов надо дублировать на видео. Тряска - лишнее, либо уменьшить амплитуду. Ну и много так по мелочи: звук, голос, ударения в предложениях, паузы и т.п. По контенту: делай шортсы с введением в проблематику, а в закрепе или в описании (что лучше, тк там ссылки нормально работают, в отличие от комментария; про "перевод" -- знаю, но это работает через раз, поверь). Как говорится «делайте это упражнение по утрам и Ваш 1 млн зрителей скажут спасибо».
Я конечно не хейтер (шутка), но мне кажется это уже не есть проблемой. Я в вебдеве уже лет как 8, но ещё в 16м-18м годах уже было зашкварно не обрабатывать xss. 15 лет назад это может и было проблемой, но сейчас это вроде как по умолчанию на любых курсах по вебдеву (надеюсь 😅). С другой же стороны для простых пользователей - это бы хорошо знать, но я думаю что не в таком формате стоит подавать проблему xss. Но в любом случае видео очень даже😮
На удивление даже в 2024 такое встречается. Во-первых, всякие самописные сайтики, в частности в сфере мультиплеерных игр, админы серверов хотят показать список игроков и зачастую не очищают ники. Во-вторых, даже когда используется фреймворк, разработчику хочется покрасить часть текста (в основном бывает в сообщениях в чате), добавить смайлики и т.д., и он сам отключает очистку (скажем v-html в vue и т.д.) Да что греха таить. Однажды и у себя в коде такое словил
Ты про cors умолчал бо видео было бы не таким сильным? Ну и селф xxs это зачастую имеют ввиду xxs на страницах доступных только пользователю и не доступным извне. А ввести код в консоль это не xss. Ты прав они много где есть но что толку с них на ноунейм сайтах.
лол вы ток что узнали, я ещё 3 месяца назад таким образом скидывал в ютуб в коменты картинки видео и игры.(код подгружает с моего сервера и отображает) В приложении не работает.
@@mmds. Уже всё уже ты опоздал, Работало ток в веб версии и уже пофиксили, но там принцип тот же вписываешь код с загрузкой картинки по ссылке и всё. Где-то был ролик по урокам где показывают наглядно поищи в поиске.
Жаль, что как и SQL инъекции, которые практически то же самое, такую уязвимость зачастую не удастся провернуть и на 20 летнем сайте написаном на голом PHP 99% только начавших учиться разработке не знают что такое SQL Injectiion и XSS, как и то, что всю работу по закрытию таких уязвимостей за них уже делает их фреймворк
хорошо объяснил "сорта XSS" ! я про них знал на практике, но не различал в чёткой терминологии, ну разве что хранимый от переданного отличал т.к. "интуитивно" это понятно.