Stavo curiosando su uno dei programmi meno noti di Google, Build with Chrome , quando ho notato qualcosa di piuttosto divertente con la barra di ricerca. Quando digiti il payload XSS standard <script>alert(1);</script>
, la notifica viene visualizzata come se il sito fosse vulnerabile a XSS. Ma qui è la cosa divertente. Se lo modifichi, (come <script>alert(2);</script>
), non succede nulla.
Dopo essermi scervellata su questo, l'unica cosa che posso inventare è che qualche sviluppatore ridacchiante di Google ha pensato che sarebbe stato divertente mandare un gruppo di persone su una traccia di coniglietti e inserire una dichiarazione if nella ricerca che diceva se qualcuno ha cercato <script>alert(1);</script>
, visualizzerebbe una notifica con '1'. È una pratica di sicurezza saggia?
Mi sembra che ci siano due lati di questo. Da un lato, se gli aggressori sono così concentrati su una vulnerabilità fasulle, saranno meno propensi a trovare quelli veri. Ma d'altra parte, scommetto che Google ha ottenuto oltre un migliaio di segnalazioni per il programma di bug bug solo su questa vulnerabilità. Ciò rende più difficile individuare i buoni rapporti.
Quindi ecco la mia domanda: è una buona pratica di sicurezza usare le piccole vulnerabilità subdole per proteggersi, o è più lavoro di quanto non risparmia?