Поиск XSS через наложение парсеров

Информационная безопасность

Инфобезопасность

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Этот доклад представлялся в виде исследования в 2021 году и попал в top-10. Крайне рекомендую к прослушиванию всем программистам, использующим bbcode/markdown/html-парсеры в своей работе.

Целевая аудитория

Доклад будет интересен разработчикам и специалистам по информационной безопасности. Исследование попало в топ-10 веб-хакерских техник 2021 года. https://portswigger.net/research/top-10-web-hacking-techniques-of-2021

Тезисы

В этом докладе подробно описывается новая техника, эксплуатирующая логику парсеров, используемых для написания красивых сообщений в мессенджерах, блогах, форумах и т.д. Эта область тестирования приложений является зрелой, она развивалась в течение последних десяти лет и включает установленные стандарты безопасности. В результате трудно найти новые методы атаки.

Старший специалист Positive Technologies и член команды PT SWARM.

Positive Technologies

Positive Technologies создаёт продукты в области кибербезопасности. Уже 20 лет основная задача компании — предотвращать хакерские атаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Продукты и сервисы Positive Technologies используют более 2300 компаний по всему миру.

Видео