- 1
Банальная узъявимость веб-админки CSRF
-
Recently Browsing 0 members
- No registered users viewing this page.
This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.
Question
userok001
Известные XSS не проверял, лень.
На примере страницы добавления пользователей посмотрел, как проверяется запрос.
Есть проверка на content-type. В данный момент в HTML стандарте нет типа text/xml для <form,
поэтому отправить запрос с фиктивной страницы не получится с этим типом.
Давно не занимался вебом, могу ошибаться.
Способна ли админка обработать обычный запрос в виде &aaa=bbb не знаю, не проверял.
Проверки на рефер вообще нет. Тестил через RestMan
Послать через ajax POST не получилось, все загнулось на OPTIONS, не передались автоматом данные для basic авторизации. Получил not auth.
Если поддерживается только text/xml и OPTIONS не вернет OK для кросс запроса, то ситуация терпимая при текущем HTML стандарте
1. Но почему просто не добавить CSRF защиту ?
2. Заменить basic авторизацию на авторизацию с куками, то есть временной сессией, причем временной на серверной стороне.
3. Пытался через трансляцию адресов сменить порт 23 на другой в домашней сети. Почему-то не работает. Видимо я что-то делаю не так.
На 80 рисковать не стал) (v2.04)
0 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.