Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Microsoft sam siebie XSS-uje w domenie docs.microsoft.com
Ciekawe znalezisko, którym @Ma7h1as podzielił się na Twitterze.
Zerknijmy sobie na pewien stary biuletyn bezpieczeństwa Microsoftu (MS15-022) w anglojęzycznej wersji strony:
Wśród naprawionych błędów znajduje się seria XSS-ów w SharePoincie. Jako możliwość zabezpieczenia przed podatnością, MS sugeruje, by uważać na konta zawierające kod HTML (rys 1).
Rys 1. Zalecenie dotyczące XSS-ów
Co ciekawe, gdy wejdziemy na niemiecką wersję strony…
Rys 2. XSS w niemieckiej wersji dokumentacji
… nagle otrzymujemy XSS-a! Patrząc w źródła strony, można wyciągnąć wniosek, że Microsoft treść biuletynów sporządza w MarkDownie, która – z jakiegoś powodu – w niektórych wersjach językowych nie przetwarza się poprawnie, prowadząc do XSS-a.
Rys 3. Fragment kodu strony z XSS-em
Wniosek? Jeśli dana strona dostępna jest w kilku wersjach językowych warto sprawdzić, czy w każdej zachowuje się tak samo!
— mb (@SecurityMB)
Hiroshima 45
Czarnobyl 86
Windows 95
Bardzo mądra uwaga; Sprawdzajcie w rożnych wersjach językowych.
Podam przykład, nie dotyczy to informatyki, tylko artykułu napisanego przez uczonego z Australii; W Australii, ten artykuł zawierał, 6-stron, A4.
W Polsce, ten artykuł zawierał już tylko 2-strony, A4. / został skrócony /.
Wersja, Niemiecka, zawierała tylko; 1/2, strony, A4. Tak mocno został samoczynnie zredukowany oryginał, tego autora.
Czasami , ciekawość, bywa, daje, ciekawe wyniki.
Pozdrawiam.