Продолжу делиться маленькими хитростями от своих студентов:
У нас после security scan срочно прикручен был выпиливатель тегов из input/textarea и т.д., что коснуло и полей с паролем и маской. Т.е. если кто-то создавал аккаунт с паролем, содержащим теги или что-то на них очень похожее, они отсекались джаваскриптом, но из-за маски пользователь не знал об этом и не мог залогиниться.
Хорошо, что есть тестировщики, которые вовремя заметили, на что мог повлиятель этот выпиливатель
Мини-вывод: если разработчики сделали массовое изменение, которое затрагивает все поля, думаем, как поля отличаются друг от друга. Простая строка и строка под маской — разные классы эквивалентности!
Прочитав, вспомнила историю примерно семилетней давности про сайт РЖД.
ОтветитьУдалитьЗарегистрировались мы, чтобы купить билеты, а залогиниться не можем. И раскладку проверили и капс, а всё равно не логинится. Ну что делать, пришлось восстанавливать пароль. А пароли у них тогда хранились в незашифрованном виде (ну это отдельная история), так что прислали пароль на почту. Оказалось, что присутствовавший в пароле символ "<" заменился на "& lt;"
Класс! Спасибо за историю :)
УдалитьОльга ! Скажите пожалуйста , а что такого страшного может произойти , если ввести в поля ввода пароль с тегами ? Зачем этот выпиливатель ? Мне интересно знать . Заранее спасибо !
ОтветитьУдалитьДобрый день! Погуглите про XSS-атаки :)
УдалитьСпасибо !
ОтветитьУдалитьДа не за что :)
Удалить