(XSS-отраженные) «межсайтовый скриптинг»

Здравствуйте.
Получил несколько писем от доброжеталетей, что личные данные на нашем ресурсе не безопасны и что система имеет уязвимости XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг»)

Так ли это стоит принимать меры стоит SS-7

"
Дело в том что при анализе вашего ресурса я обнаружил у вас несколько "уязвимост­ей"(XSS-отраженные)
В свободное от рабо­ты время тестирую ра­зличные веб ресурсы на проникновение и и т.д. В официальное время являюсь специа­листом по информацио­нной безопасности:)
Скажите пожалуйста с кем по должности я веду диалог?
"
-и далее письма мол вы в опасности неужели наплевать..
-или это какаято новая уловка от жуликов?

3 ответа

  • 2
    Antonio 1 февраля 2018 18:45 #
    1. Очень похоже на то, когда ходят по квартирам и говорят, что в вашем районе обнаружено очень плохое качество воды и нужно срочно ставить фильтры, которые сегодня со скидкой 50%.
    2. Как он в свободное время выбирает из миллионов сайтов какие-то для тестирования? По алфавиту?
  • 1
    Михаил Ушенин Webasyst 1 февраля 2018 14:21 #

    Установите все обновления для Shop-Script и фреймворка Webasyst, если в "Инсталлере" остались неустановленные. Последняя версия — самая безопасная.

    Попросите автора писем отправить информацию в службу поддержки Webasyst. Если вы получите подробности об обнаруженной уязвимости, не публикуйте их здесь, в хабе поддержки, а отправьте в службу поддержки через Центр заказчика, пожалуйста.

  • 0

    Не думаю, что в Shop-Script есть Xss уязвимость, потому как все данные вводимые пользователем экранируются. Другое дело продукты сторонних разработчиков, которые принимают данные от пользователей, могут иметь недостатки безопасности. но для того чтобы отработала xss, нужно чтобы исходные данные от пользователя при показе не экранировались, а вебасист за этим старается следить.

    P.S. Думаю сама Xss могла быть в вашем письме, а эта рассылка вероятно спам.

    • +1

      Есть, и я много находил. Все были исправлены техподдержкой и, кстати, довольно оперативно. Поэтому простой совет - обновляйтесь.

Добавить ответ

Чтобы добавить комментарий, зарегистрируйтесь или войдите