userok001 Posted November 10, 2016 Share Posted November 10, 2016 (edited) Известные XSS не проверял, лень. На примере страницы добавления пользователей посмотрел, как проверяется запрос. Есть проверка на content-type. В данный момент в HTML стандарте нет типа text/xml для <form, поэтому отправить запрос с фиктивной страницы не получится с этим типом. Давно не занимался вебом, могу ошибаться. Способна ли админка обработать обычный запрос в виде &aaa=bbb не знаю, не проверял. Проверки на рефер вообще нет. Тестил через RestMan Послать через ajax POST не получилось, все загнулось на OPTIONS, не передались автоматом данные для basic авторизации. Получил not auth. Если поддерживается только text/xml и OPTIONS не вернет OK для кросс запроса, то ситуация терпимая при текущем HTML стандарте 1. Но почему просто не добавить CSRF защиту ? 2. Заменить basic авторизацию на авторизацию с куками, то есть временной сессией, причем временной на серверной стороне. 3. Пытался через трансляцию адресов сменить порт 23 на другой в домашней сети. Почему-то не работает. Видимо я что-то делаю не так. На 80 рисковать не стал) (v2.04) Edited November 10, 2016 by userok001 Quote Link to comment Share on other sites More sharing options...
Question
userok001
Известные XSS не проверял, лень.
На примере страницы добавления пользователей посмотрел, как проверяется запрос.
Есть проверка на content-type. В данный момент в HTML стандарте нет типа text/xml для <form,
поэтому отправить запрос с фиктивной страницы не получится с этим типом.
Давно не занимался вебом, могу ошибаться.
Способна ли админка обработать обычный запрос в виде &aaa=bbb не знаю, не проверял.
Проверки на рефер вообще нет. Тестил через RestMan
Послать через ajax POST не получилось, все загнулось на OPTIONS, не передались автоматом данные для basic авторизации. Получил not auth.
Если поддерживается только text/xml и OPTIONS не вернет OK для кросс запроса, то ситуация терпимая при текущем HTML стандарте
1. Но почему просто не добавить CSRF защиту ?
2. Заменить basic авторизацию на авторизацию с куками, то есть временной сессией, причем временной на серверной стороне.
3. Пытался через трансляцию адресов сменить порт 23 на другой в домашней сети. Почему-то не работает. Видимо я что-то делаю не так.
На 80 рисковать не стал) (v2.04)
Edited by userok001Link to comment
Share on other sites
0 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.