Comments 5
(Наряду с очевидными дырами) вот что бывает, когда люди пренебрегают практикой «Все изменения в состоянии приложения только через PUT, POST, DELETE».
+3
>Однако аутентификацию можно обойти: если пользователь сделает запрос, отличный от GET, то его роль пользователя проверяться не будет. Разработчики, как правило, ограничивают доступ к приложению для методов GET и POST, однако иногда забывают про метод HEAD.
Ржунимагу, ынтырпрайзная промышленная система за миллионы денег такая ынтырпрайзная.
Перед таким решетом просто надо ставить nginx с http basic auth, учетки юзеров — из базы сапа, и будет счастье.
Ржунимагу, ынтырпрайзная промышленная система за миллионы денег такая ынтырпрайзная.
Перед таким решетом просто надо ставить nginx с http basic auth, учетки юзеров — из базы сапа, и будет счастье.
+1
Забыл пароль — запустил SecStore_Cr.jar — вспомнил пароль :)
ЗЫ, не актуально, но может быть полезно, тем-кто не любит обновляться годами
ЗЫ, не актуально, но может быть полезно, тем-кто не любит обновляться годами
0
Sign up to leave a comment.
Взлом корпоративного портала SAP