試想以下情形:如何最好地爲您自己的公司的Web開發團隊提供安全漏洞?
你在大公司工作,你的同事在走廊上的網絡開發團隊對於大聯合的公共博客系統,它有很多大有限公司員工和一些公共人使用。博客系統允許任何HTML和JavaScript,並且你被告知這是一個選擇(不是偶然的),但你不確定他們是否意識到這一點。
所以你想說服他們,這是一個壞主意。你寫一些演示代碼,並在自己的博客中植入一個XSS腳本,然後寫一些博客文章。不久之後,首席博客管理員(走廊)訪問您的博客帖子,XSS將Cookie發送給您。您將它們複製到您的瀏覽器中,然後您現在以他身份登錄。
好了,現在你登錄爲他......你開始意識到這也許不是個好主意繼續前進,「黑客」的博客系統。但你是個好人!登錄後你不會觸摸他的帳戶,而且你絕對不打算宣傳這個弱點;你只是想告訴他們公衆能夠做到這一點,以便他們可以在惡意實現相同的事情之前修復它!
什麼是行動的從這裏最好的課程?
試着只給他們說話是不是一個好主意? – 2010-06-10 20:25:05
你已經簡要表達了你的顧慮;這是你在這個談話中瞭解到這是一個決定(全部或全部,或者你被告知)。您想表達的是,有一箇中間立場,阻止除非惡意軟件以外的所有HTML標籤,但同時您首先進行演示,以獲得實際**證明**以備份您的疑慮。 – BigCoEmployee 2010-06-10 20:26:50
要將匿名攻擊的證據匿名發送給首席博客管理員,請轉至第34頁。 – 2010-06-10 20:27:55