Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
На прошлой неделе специалисты компании VPNMentor рассказали о том, что когда они изучали безопасность Tinder и других сервисов для знакомств, то обнаружили, что поддомен go.tinder.com уязвим перед XSS-атаками. Это находка навела исследователей на след куда более крупной проблемы, затрагивающей такие компании и сервисы, как Yelp, Western Union, Shopify, RobinHood, Letgo, imgur, Lookout, fair.com, Cuvva и так далее.
Как оказалось, настоящий корень многочисленных XSS-проблем лежал в аналитическом наборе инструментов branch.io, созданным одноименной канадской фирмой. Данный тулкит используется множеством компаний по всему миру для наблюдения за поведением пользователей своих сайтов и приложений. К примеру, branch.io помогает узнать, откуда пользователь пришел на сайт (из социальной сети, из ссылки в письме и так далее).
За прошедшее время канадские разработчики успели устранить обнаруженный исследователями баг, однако, ИБ-специалисты компании Detectify заметили, что вышедший патч непросто неэффективен, но создал новую XSS-уязвимость (в материале название уязвимого решения не раскрывается, вместо этого используется абстрактное «SaaS-вендор»).
Хуже того, специалисты пишут, что для эксплуатации бага и можно было использовать их старый пейлоад для проблемы, обнаруженной еще несколько месяцев тому назад и, казалось бы, тоже исправленной. В итоге аналитикам Detectify удалось без труда создать новый работающий эксплоит для Safari (для macOS и iOS), после чего они поспешили уведомить о новой уязвимости крупные сайты и сервисы, использующие branch.io, а также самих разработчиков.
Хотя создатели Branch.io выпустили еще одно исправление, специалисты Detectify пишут, что проблема все равно не решена до конца. Исследователи объясняют, что для окончательного устранения бага, нужно добавить ‘ ‘ и ‘:’ в черный список параметров редиректа, с которым сверяется branch.io, так как в настоящее время бага проблемы кроется именно там.
|
|