Postmessage pozwala na wymienianie danych pomiędzy różnymi domenami. Ale jak zrobić to dobrze i jakie niebezpieczeństwa czyhają na programistów? W dzisiejszym odcinku o tym dlaczego nie warto używać wyrażeń regularnych do sprawdzania skąd pochodzi wiadomość.

Jak przekonać użytkownika do usunięcia swojego konta w serwisie internetowym bez jego zgody?

Funkcjonalność wysyłania plików to miejsce kluczowe dla bezpieczeństwa. Na jakie rozszerzenia warto zwrócić szczególną uwagę.

W jednym z poprzednich materiałów demonstrowałem CSV Injection - czyli możliwość wykonania zewnętrznego kodu z poziomu aplikacji, która otwiera pliki CSV. Zastosowanie takiego ataku ogranicza się zatem do kilku programów. Czy można rozszerzyć potencjalny wektor ataku na większą ilość aplikacji?

Jesteśmy przyzwyczajeni, że dzisiejsze strony internetowe zawierają odnośniki do innych serwisów. Ale czy automatyczne przekierowanie na zewnętrzną domenę może być szkodliwe?

Dlaczego przekazywanie zmiennej do funkcji Assert w PHP nie jest dobrym pomysłem?

Tym razem nie o podatności, a bardziej funkcjonalności, która może zostać użyta do ataków phishingowych. Problem ten może wystąpić na każdej stronie internetowej, która umożliwia eksportowanie danych do formatu CSV. W jaki sposób format tekstowy może zostać użyty do ataku?

Sporo programistów pythona wie, aby nie używać pickle na danych od użytkownika ponieważ podczas ich deserializacji może dojść do ataku object injection i wykonania złośliwego kodu. Ale co z innymi formatami? Czy również są niebezpieczne?