精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

一年前互聯(lián)網(wǎng)貨代公司Flexport為了提高其客戶數(shù)據(jù)的安全性，與我們HackerOne平臺建立了合作關(guān)系。HackerOne作為全球知名的bug賞金平臺之一，允許所有安全愛好者或?qū)I(yè)的滲透測試人員，來提交他們的漏洞報告并給予相應(yīng)的獎勵。從與Flexport合作至今，我們已經(jīng)收到了近200份的漏洞報告，包括從nginx頭移除服務(wù)器令牌到XSS漏洞。以下是我們在這200份報告中挑選出的最有意思的6個漏洞。

1.刪除按鈕中的XSS

在啟動我們的這個bug賞金計劃時，我們并沒有想到會收到任何關(guān)于XSS的有效報告。畢竟，React有內(nèi)置的安全防護策略。但事實并非如此，我們收到的第一個報告就讓我們感到非常震驚，這是一個關(guān)于存儲型XSS的漏洞。

　　形成原因

當時我們使用Bootbox來顯示錯誤消息并創(chuàng)建確認對話框。而Bootbox獨立于React管理其DOM元素，并未受到React的XSS保護。因此，當用戶直接將輸入放在確認對話框中就會形成一個存儲型的XSS漏洞。

修復(fù)

短期修復(fù)：在將任何用戶輸入傳遞給Bootbox之前，先過濾所有可能的XSS標簽（例如可以使用JSXSS模塊）。

長期修復(fù)：將Bootbox轉(zhuǎn)移到基于React的確認模式。

吸取的教訓(xùn)

React雖然可以在一定程度上為我們防護XSS，但并不意味著所有的代碼都是安全的。我們不能輕易信任在React之外運行的庫文件，最好是減少或者避免使用那些未知的庫文件。

2. Markdown處理中的XSS

在修復(fù)Bootbox并對其它類似庫進行檢查后不久，我們又收到了另一份關(guān)于XSS漏洞的報告。這次的問題是出在我們的Markdown渲染中。

形成原因

我們在文本框中支持Markdown，并使用了