Jak zabezpieczyć DOMPurify? Oto moja historia!

Jak zabezpieczyć DOMPurify? Oto moja historia!

2021-01-21 11:45 Redakcja

DOMPurify to popularna biblioteka typu HTML Sanitizer, która pozwala autorom stron www na umożliwienie użytkownikom wprowadzania własnego kodu HTML. Niestety, niesie to ze sobą ryzyko ataków typu XSS, które mogą być niebezpieczne dla bezpieczeństwa aplikacji.

W ciągu ostatniego roku odkryłem kilka obejść zabezpieczeń tej biblioteki. Opisałem je w moim artykule na anglojęzycznym blogu, gdzie skupiałem się na różnych metodach bypassu, takich jak mutation XSS oraz namespace confusion. Wersje DOMPurify poniżej 2.0.17 są szczególnie podatne na te ataki.

Choć na co dzień zajmuję się obchodzeniem zabezpieczeń w różnych systemach, ostatnio czuję silną potrzebę pomocy w ich zabezpieczeniu. Wierzę, że dzięki wspólnej pracy możemy znacząco poprawić bezpieczeństwo aplikacji korzystających z tej biblioteki.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.