В статье сначала взглянем на примеры mXSS уязвимостей недалекого прошлого, а затем рассмотрим совсем свежие примеры, которые позволили обойти защиту популярных HTML-санитайзеров. Разберемся как им это удалось, и почему так сложно надежно защититься от уязвимостей, основанных на мутациях HTML-разметки.

https://habr.com/ru/post/685882/?utm_source=habrahabr&utm_medium=rss&utm_campaign=685882

Говорят, обещанного три года ждут, но не прошло и двух, с тех пор как здесь появилась первая часть перевода OWASP Application Security Verification Standard 4.0, как я решил доделать начатое. В первой части помимо раздела об архитектуре было подробное введение, дающее представление о стандарте и его назначении. Всем кто его прочитал, и тем, кто знаком с ASVS в оригинале, сразу даю ссылку на итоговый pdf и другие форматы, - возможно, вы откроете для себя что-то новое. Всем остальным предлагаю посмотреть "великолепные цветные диапозитивы" в качестве быстрого погружения.

https://habr.com/ru/post/679654/?utm_source=habrahabr&utm_medium=rss&utm_campaign=679654