Об одной малоизвестной уязвимости в веб сайтах
Первое правило безопасности при разработке Веб приложений гласит: —Не доверять данным пришедшим от клиента.Почти все это правило хорошо знают и соблюдают. Мы пропускаем через валидаторы данные форм, кукисы, даже URI.
Но недавно я с удивлением обнаружил, что есть одна переменная, приходящая от клиента, которую почти никто не фильтрует.
Речь пойдет о компрометации веб приложения через подмену значения
HTTP_HOST и SERVER_NAME.Читать дальше →
