20070131

OWASP Top 10 2007 Update RC1 - A1 A2

Link

A1. Cross Site Scripting (XSS)
While this is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most widespread of attacks against websites, it's actually just that - an attack or threat. And it falls under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category (IMO) of Command Injection. Well, okay, to be fair, Cross-site scripting would imply injecting script from anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r site into a different one. What we call Cross-site Scripting is probably more accurately called HTML injection or script injection. But we stick with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name we're given, which somehow implies it's a different concern than command injection. This misnaming is not OWASP's fault. And it's probably not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir fault it's mis-classified.

Because it's so serious, maybe it ought to be in its own category...

I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fixes (finally! whitelist, and output filtering!), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encoding needs to take place at two levels:

  1. (X)HTML (or whatever presentation format) encoding, meaning encode dynamic markup into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate entities.
  2. Specify output encoding. It seems this gets lost in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shuffle, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are PoC's now for applications that expect or accept one encoding and eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r don't specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output encoding or specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong one.
This is probably as close as we're going to get in a summary document like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 10. And because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole industry calls it Cross-site Scripting (even when it's not), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name needs to stay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same so developers can find solutions. (I'm assuming a search for "Cross-site Scripting" will return a bunch more hits than "HTML Injection").

A2. Injection Flaws
Injection Flaws is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bucket for all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining (not XSS) injection flaws. This includes SQL, command, LDAP, XSLT, you name it. Because of SQL injection alone I can see this as #2 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list. Not necessarily second-most dangerous, but it can still be found semantically, or with google dorks.

Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations are almost spot-on. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's not much detail cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can go into without breaking down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different types of injection. I really don't like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement that "validation is still recommended in order to detect attacks". Validation should be used to determine anything that isn't what we expect, not to try to find attacks.

More on A3-A10 later...

0 comments: