من در حال تلاش برای مهندسی معکوس یک ماژول هسته لینوکس (نسخه هسته 4.19 هسته) هستم. Ghidra همه نامهای عملکردی را از قبیل: باز ، misc_register و غیره به درستی تشخیص می دهد ، اما نمی تواند امضاهای دقیق آنها را تعیین کند. بیایید به عنوان نمونه از تابع copy_from_user با امضا استفاده کنیم: [19659003]…
http – دور زدن اعتبار سنجی هدر
من اسکریپتی ساخته ام که می تواند برای سوءاستفاده از نادرست تنظیم CORS مورد استفاده قرار گیرد. اسکریپت خوب است اما اگر بخواهم با درخواست xhttp.setRequestHeader ("test_header" ، "test_value") یک سرصفحه اضافی برای درخواست ارسال کنم این برای اولین بار درخواست پیش پرواز (OPTIONS) را ارسال می کند که شامل [19659002] Access-Control-Request-Headers: header_name که سرور…
برنامه وب – تزریق هدر میزبان در برچسب متا
هنگامی که من یک هدر X-Forwarded-Host: bing.com اضافه کردم ، آن را به تگ های متا در سایت حاوی bing.com تزریق می کند ، آیا این اثر امنیتی دارد آیا من برای این آسیب پذیری گزارش می کنم؟ بارهای XSS می تواند؟ اجرا نمی شود زیرا برچسب متا ، علامت گذاری دوگانه و < >…
aws – هدر دلخواه "سخت به حدس زدن" (یا مشابه) برای لیست سفید از طریق فایروال
سازمان من با استفاده از AWS WAF فایروال را به پشته های آزمون ما اضافه می کند. ما می خواهیم برای تسهیل درخواست بین خدمات خود ، همه ترافیک SDK هایی که ساخته ایم را لیست کنیم. ما فکر کردیم که این کار را با استفاده از یک هدر درخواست X- سفارشی انجام دهیم ،…