HOWTO: Golden link to yourself

-finder, 30-12-2023 ,

103

Тэги: #hacks

Usual link: -finder
Golden link: -finder
Markdown code: [![](/static/gold.png)-finder](/u%2f-finder)

▲ 2 ▼ finder 30-12-2023

Кек :) это чем-то похоже на диплом Нью-Йорской академии наук.

ответить

▲ 1 ▼ finder 30-12-2023

Есть просьба: могу я попросить тебя написать в "о себе", что ты это не я? Сейчас это весьма не очевидно.

ответить

▲ 1 ▼ -finder 30-12-2023

👌

ответить

▲ 1 ▼ -finder 30-12-2023

Я удалил /278 - сорри за деструктивные эксперименты, без них никак.

ответить

▲ 1 ▼ finder 30-12-2023

Всё норм, спасибо! Ты в этом явно разбираешься лучше меня, что посоветуешь - делать logout POST-only или дополнительно санитизировать атрибут src? У такой дырки есть стандартное название, чтобы поискать, как их системно лечат?

ответить

▲ 2 ▼ -finder 30-12-2023

POST сделать точно стоит, но это лишь гемморойнее будет обходиться.
Как и для других атак из семейства XSS, - cовсем правильное решение: добавить CSRF-токены, проверяющие, что операция была разрешена сервером, а не внедрена зловредом.

ответить