Stellen Sie sich folgendes Szenario vor:Wie können Sie einem Webentwicklungsteam in Ihrer eigenen Firma am besten eine Sicherheitslücke präsentieren?
Sie bei Big Co. arbeiten und Ihre Mitarbeiter auf dem Flur befinden sich auf der Web-Entwicklungs-Team für öffentliche Blog-System Big Co, die eine Menge von Big Co Mitarbeiter und einige öffentliche Menschen nutzen . Das Blog-System erlaubt jedes HTML und JavaScript, und Ihnen wurde gesagt, dass es eine Wahl war (nicht zufällig), aber Sie sind nicht sicher, ob sie die Implikationen davon erkennen.
Also wollen Sie sie davon überzeugen, dass dies eine schlechte Idee ist. Sie schreiben einen Democode und fügen ein XSS-Skript in Ihrem eigenen Blog ein und schreiben dann einige Blogposts. Bald darauf besucht der Chef-Blog-Administrator (im Flur) Ihren Blogpost und das XSS sendet Ihnen seine Cookies. Sie kopieren sie in Ihren Browser und Sie sind jetzt als er eingeloggt.
Okay, jetzt bist du eingeloggt als er ... Und du fängst an zu erkennen, dass es vielleicht keine so gute Idee war weiterzumachen und das Blog-System zu "hacken". Aber du bist ein guter Typ! Du berührst sein Konto nicht, nachdem du dich angemeldet hast, und du planst definitiv nicht, diese Schwäche zu veröffentlichen; Sie möchten ihnen vielleicht nur zeigen, dass die Öffentlichkeit in der Lage ist, dies zu tun, damit sie es beheben können, bevor jemand böswilliges das Gleiche realisiert!
Was ist die beste Vorgehensweise von hier?
Wäre es nicht eine gute Idee zu versuchen, nur mit ihnen zu reden? –
Sie haben Ihre Bedenken kurz geäußert; Das war die Unterhaltung, in der du erfuhrst, dass dies eine Entscheidung war (alles oder nichts, wurde dir gesagt). Sie möchten ausdrücken, dass es einen Mittelweg gibt, der alle HTML-Tags blockiert, mit Ausnahme der nicht-bösartigen, aber gleichzeitig haben Sie die Demonstration an erster Stelle gemacht, um einen tatsächlichen ** Beweis ** zu haben, um Ihre Bedenken zu bestätigen. – BigCoEmployee
Um den Beweis des Angriffs anonym an den Chef-Blog-Administrator zu senden, wenden Sie sich an Seite 34. –