من اسکریپتی ساخته ام که می تواند برای سوءاستفاده از نادرست تنظیم CORS مورد استفاده قرار گیرد. اسکریپت خوب است اما اگر بخواهم با درخواست xhttp.setRequestHeader ("test_header" ، "test_value") یک سرصفحه اضافی برای درخواست ارسال کنم این برای اولین بار درخواست پیش پرواز (OPTIONS) را ارسال می کند که شامل [19659002] Access-Control-Request-Headers: header_name که سرور…
روش برای دور زدن n در WAF ( n آسیب پذیری)
من این برنامه کاربردی را دارم که دارای یک جعبه ورودی است که داده ها با فرمت JSON ارسال می شوند. ممکن است بار JSON به صورت زیر باشد [پیام “" پیام سلام "نام سلام andi است" 19 اما مشکل این است که n توسط WAF من مسدود شده است. به پس زمینه منتقل نمی…
حریم خصوصی – چه اتفاقی می افتد اگر برخی از صفحات وب تصادفی درخواست Ajax را برای http://127.0.0.1/private.txt ایجاد کنند؟
CORS و SOP دوستان شما در اینجا هستند. از آنجا که جاوا اسکریپت مورد نظر توسط http://127.0.0.1 میزبانی نمی شود ، از طریق SOP و قوانین پیش فرض برای CORS در مرورگرها اجرا خواهد شد. مانع از تبدیل جاوا اسکریپت از پاسخ خواندن شوید. این بخش "خواندن" مهم است ، زیرا درخواست هنوز توسط نرم…
چرا آینه های HTTP بیشتر مستعد فساد هستند؟
فقط یک ظهر دزد دریایی که می خواهد با پرسیدن سؤالات noob بهتر شود. چرا آینه های HTTP بیشتر از وب سایت اصلی قابل ردیابی توسط هکرها هستند؟ اگر من باید حدس می زنم ، این به دلیل تفاوت در اجرای امنیتی بین سرورها در سراسر جهان است که پرونده ها را نگه می دارند.…
برنامه وب – اجازه دادن به JS CDN در یک سیاست امنیتی محتوای HTTP چقدر ایمن است؟
من وظیفه دارم برای محافظت در برابر رمز ضرب و شتم کارت اعتباری ، به کلیه فروشگاه های Magento ، یک سیاست امنیتی برای محتوا اضافه کنم ، که می تواند از طریق سرپرست فروشگاه یا GoogleTagManager * در صورت وجود گذرواژه ، محافظت کند. بسیاری از این فروشگاه ها شامل دارایی (jQuery ، Bootstrap…