Pull to refresh

Comments 9

Материал адаптирован и расширен, «перевод» здесь не совсем уместен.
Не, ну за минус я не смолчу: адаптирован == переведён, мало ли что там напереводили иные редакторы GT. Насчёт расширен — можете ткнуть в конкретный кусок, которого нет в оригинальной статье? Если что, вторая табличка — это урезанная версия из pdf'ки с owasp, на которую референс в конце. Пока что я вижу именно что перевод оригинальной статьи с выкинутыми введением и тремя экранами в конце.
Минусы не ко мне =) Лишней воды и так хватает в статьях, старался передать техническую выжимку. Добавлены списки препорцессоров, обработка system-property, XSS. Перевести из публикации в переводы нельзя.

Кажется, кто-то вернулся в свой 2007-й!

Это вы зря. При сегодняшнем развитии OOXML у него возможностей огого!
Эта технология часто используется для следующих целей:
построение отчетности;
экспорт данных в тот или иной формат;

Это удобнее в связке с PHP использовать. Вернее получается XML+PHP вместо XML+XSLT.

Возможность выполнения произвольного непонятно откуда взятого XSLT — это не вектор атаки на XSLT, строго говоря. Это вектор атаки на приложение, использующее данную технологию. XSLT — это код. Давать возможность выполнять недоверенный код — это дыра по умолчанию, тут даже обсуждать нечего.


Эту возможность надо отключить навсегда, и тогда прочих описанных проблем по большей части не будет вовсе.

И кстати — если внимательно посмотреть на перечисленные тут CVE, то только один из случаев является проблемой в процессоре (возможность выполнять произвольный Java код — кстати, отключается средствами Java, скорее всего). Остальные два классифицируются как уязвимости в Struts и другом приложении, позволяющие выполнять произвольный неконтроллируемый XSLT код. Т.е. опять таки — это уязвимости не в XSLT, это уязвимости приложения, которое пользуется XSLT, но при этом позволяет извне загружать некие "левые" трансформации.

Sign up to leave a comment.