- 1
-
Последние посетители 0 пользователей онлайн
- Ни одного зарегистрированного пользователя не просматривает данную страницу
На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.
Вопрос
userok001
Известные XSS не проверял, лень.
На примере страницы добавления пользователей посмотрел, как проверяется запрос.
Есть проверка на content-type. В данный момент в HTML стандарте нет типа text/xml для <form,
поэтому отправить запрос с фиктивной страницы не получится с этим типом.
Давно не занимался вебом, могу ошибаться.
Способна ли админка обработать обычный запрос в виде &aaa=bbb не знаю, не проверял.
Проверки на рефер вообще нет. Тестил через RestMan
Послать через ajax POST не получилось, все загнулось на OPTIONS, не передались автоматом данные для basic авторизации. Получил not auth.
Если поддерживается только text/xml и OPTIONS не вернет OK для кросс запроса, то ситуация терпимая при текущем HTML стандарте
1. Но почему просто не добавить CSRF защиту ?
2. Заменить basic авторизацию на авторизацию с куками, то есть временной сессией, причем временной на серверной стороне.
3. Пытался через трансляцию адресов сменить порт 23 на другой в домашней сети. Почему-то не работает. Видимо я что-то делаю не так.
На 80 рисковать не стал) (v2.04)
Изменено пользователем userok0010 ответов на этот вопрос
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.