вторник, 30 июня 2015 г.

Идеи багов. Выпиливатель тегов в пароле



Продолжу делиться маленькими хитростями от своих студентов:

У нас после security scan срочно прикручен был выпиливатель тегов из input/textarea и т.д., что коснуло и полей с паролем и маской. Т.е. если кто-то создавал аккаунт с паролем, содержащим теги или что-то на них очень похожее, они отсекались джаваскриптом, но из-за маски пользователь не знал об этом и не мог залогиниться.

Хорошо, что есть тестировщики, которые вовремя заметили, на что мог повлиятель этот выпиливатель Wink ;)

Мини-вывод: если разработчики сделали массовое изменение, которое затрагивает все поля, думаем, как поля отличаются друг от друга. Простая строка и строка под маской — разные классы эквивалентности!

6 комментариев:

  1. Прочитав, вспомнила историю примерно семилетней давности про сайт РЖД.
    Зарегистрировались мы, чтобы купить билеты, а залогиниться не можем. И раскладку проверили и капс, а всё равно не логинится. Ну что делать, пришлось восстанавливать пароль. А пароли у них тогда хранились в незашифрованном виде (ну это отдельная история), так что прислали пароль на почту. Оказалось, что присутствовавший в пароле символ "<" заменился на "& lt;"

    ОтветитьУдалить
  2. Ольга ! Скажите пожалуйста , а что такого страшного может произойти , если ввести в поля ввода пароль с тегами ? Зачем этот выпиливатель ? Мне интересно знать . Заранее спасибо !

    ОтветитьУдалить