Xbox отказалась от партнерства с сомнительной премьерой
G@GameDEV1 дн
The cringiest premiere of the recent months was supposed to be made for XBOX, but they abandoned the deal. Wise move! 😉
👥 За поиск сотрудников отвечали разные рекрутеры агентства. О своём подходе рассказывает Лена Платонова, Senior IT Recruiter NEWHR.👉 Читать кейс ✍️ Если вам нужна помощь с наймом — заполните форму на сайте или напишите нам на почту contact@new.hr #кейс@newhr
User-Agent), если они записываются в логи.
- Ожидание: Скрипт находится в базе данных в пассивном состоянии. Атакующий не получает мгновенного ответа от сервера и не знает, сработает ли его payload.
Исполнение: Внутренний пользователь (администратор, модератор, сотрудник службы безопасности) открывает свою панель управления для проверки логов или тикетов.
Если административное приложение выводит сохраненные данные в браузер без предварительной очистки, внедренный JavaScript-код выполняется в контексте сессии этого сотрудника.
🛠 Особенности тестирования
Поскольку атакующий не видит админку и результат выполнения кода, стандартные методы вроде alert(1)здесь не работают. Для поиска Blind XSS применяются Out-of-Band (OOB) техники:
- Внутрь payload закладывается логика отправки скрытого запроса на внешний хост, контролируемый тестировщиком.
- Для автоматизации используются специализированные платформы (например, XSS Hunter или Interactsh).
- Факт уязвимости подтверждается только тогда, когда на внешний сервер приходит обратный вызов (callback). Вместе с ним обычно передаются данные о внутреннем окружении: URL скрытой панели управления, DOM-структура страницы, IP-адрес и сессионные маркеры.
🛡 Способы защиты
- Контекстное экранирование на выводе: Административные панели и системы работы с логами должны обрабатывать поступающие из базы данные так же строго, как и внешние. Все спецсимволы HTML должны преобразовываться в безопасные сущности перед рендерингом страницы.
- Строгая политика CSP (Content Security Policy): Настройка политик во внутренних интерфейсах, запрещающая выполнение инлайновых скриптов и ограничивающая отправку запросов на неизвестные внешние домены.
- Флаг HttpOnly для сессионных кук: Защита идентификаторов сессии от чтения через JavaScript, что предотвращает их кражу даже в случае успешного выполнения XSS.
Привет!