(składnia)

Michał Bentkowski: BetterZip – czyli od XSS-a do wykonywania dowolnego kodu

Programista 07/2017 (62) sierpień/wrzesień [okładka]

XSS (Cross-Site Scripting) to jedne z najbardziej popularnych podatności świata aplikacji webowych. Na liście OWASP TOP10 niezmiennie od wielu lat zajmują pierwsze miejsce pod względem powszechności. Do tej pory XSS-y były zwykle utożsamiane wyłącznie ze światem przeglądarek, jednak ze względu na fakt, że HTML i JavaScript ostatnio coraz mocniej przenikają do świata aplikacji desktopowych (np. framework Electron) i mobilnych (Cordova), skutki XSS-ów mogą być poważniejsze niż kiedykolwiek wcześniej. W tym artykule zobaczymy na przykładzie aplikacji na systemy macOS - BetterZip – jak XSS może posłużyć do wykonania dowolnego kodu na komputerze.