Я стараюсь писать коротко. Как написать тоже самое но другими словами, например? Я может пишу с плохой грамматикой но технические вещи называю довольно внятно же
Я старался писать путем просто выбрасывания фактов без воды, иначе статья вышла бы раза в три больше и людям было бы лень читать. Сейчас же в каждой строчке сразу по несколько шагов, если что не понятно в комментариях с радостью уточню.
Ага круто. Теперь понял что имел ввиду под реверс кликджекингом.
Но я бы выкинул это в отдельный термин «arbitrary method call». Как я уже говорил если невозможно создать js ссылку (что уже само по себе XSS) можно делать form.submit().
Блин, я когда оригинальную статью читал мало что понял, а теперь то еще хуже :) Это же не сам paul axe переводил? Вопросы допустим у меня такие
> Поэтому я использовал страницу на developers.google.com с функцией Callback
имеется ввиду site.com/?call=alert вызовет alert(...) да? Что же в ней безопасного? Это же простейший CSRF через чужое окно типа parent.other_frame.some_form.submit(...)
Впрочим прямого XSS я незнаю пока как создать. На многих oauth колбэк страничках такой баг например linkedin. я могу вызвать любую функцию но с неконтролируемыми аргументами.
в чем суть Reverse clickjacking а? как раз такие parent.somelink.click()?
Первый баг если я не ошибаюсь self xss, тоесть не эксплуатируемый.
Крутые советы. Для еще большей безопасности параноики могут хранить соль в localStorage браузера и присылать каждый раз вместе с запросом. Сменил браузер — делай Reset password.
Фиксируем сессию — понятно любому знакомому с атакой, фиксации сессии. Ну и звучит же очевидно.
Термины объяснены в первой статье, типа.
У фб facebook.com/profile.php
Да, но разлогинеть не сложно. Достаточно знать токен (любой) этой жертвы (можно слить с других сайтов) и загрузить logout.php?access_token=123
Ошибка, что вы написали, не имеет никакого значения. Это отказ браузера показывать страницу с результатом, на работу CSRF никак не влияет.
Вспомнился анекдот про неуловимого Джо, Я так больше не играю :(
Но я бы выкинул это в отдельный термин «arbitrary method call». Как я уже говорил если невозможно создать js ссылку (что уже само по себе XSS) можно делать form.submit().
2 теперь понял, он же по всем ссылкам фида ходит.
Правда все они угоняются если заменить серверный код
> Поэтому я использовал страницу на developers.google.com с функцией Callback
имеется ввиду site.com/?call=alert вызовет alert(...) да? Что же в ней безопасного? Это же простейший CSRF через чужое окно типа parent.other_frame.some_form.submit(...)
Впрочим прямого XSS я незнаю пока как создать. На многих oauth колбэк страничках такой баг например linkedin. я могу вызвать любую функцию но с неконтролируемыми аргументами.
в чем суть Reverse clickjacking а? как раз такие parent.somelink.click()?
Первый баг если я не ошибаюсь self xss, тоесть не эксплуатируемый.
> на русском
Ага, щас
Почти! 69! Но мы зачтем