Články se značkou „XSS“
Napsal jsem
phpinfo() a jak tomu zabránit Krádež session id z výpisu phpinfo() je již nějakou dobu známá technika, která se používá k obcházení atributu HttpOnly, který JavaScriptu zakazuje přístup k takto označené cookie (např. PHPSESSID). Mě akorát až teď napadlo řešení, které dovolí phpinfo() zachovat: ty citlivé údaje prostě zcenzurujeme, čímž phpinfo() pro útočníka ztratí část své hodnoty.
fbclid pomocí JavaScriptu Přibližně před dvěma týdny začal Facebook přidávat „sledovací“ parameter fbclid (Facebook click id?) do všech externích odkazů, které uživatelé sdílí. A mě se to nelíbilo, tak ten parametr skrývám.
Začal jsem pracoval na Report URI, na nástroji, který sbírá reporty z prohlížeče v reálném čase. A to už vlastně před rokem. 27. června 2017 jsem totiž udělal první změnu v kódu. O té doby jsem přidal 709 402 řádků a odstranil jich 1 981 599.
Nahlásil jsem bezpečnostní zranitelnost typu Stored XSS a chyba byla ověřena, opravena, a záplata otestována a vydána do hodiny. V pátek. Před Vánoci.