Удивительно как много можно сделать при помощи смекалки и простого Javascript’а. А если это все объединить вместе с SQL injection то результат может превзойти самые смелые ожидания.
Вчера мой бывший бос за сорок минут сломал наш корпоративный сайт. Как сказать не могу (не потому, что на знаю, а потому что не имею права), но могу сказать, что это заставило меня по новому взглянуть на проблему application development security.
Для любознательных: существует open-source приложение написанное одним из моих бывших коллег которое называется Insecure Web App. Оно доступно на Sourceforge. Очень рекомендую скачать и попробовать взломать. Открывает глаза на многие вещи.
