Metodi per aggirare la politica CORS dei browser

Naviga le tue risposte
1

Oggi stavo pentesting un'API JSON Rest; l'API necessita di un'intestazione specifica da inviare: - Content-Type: application / json che non consente attacchi CSRF.

L'unica opzione che mi rimaneva era inviare richieste tra domini incrociati poiché non esiste alcuna serie di politiche CORS. Tuttavia durante il tentativo di invio di POST xhr con l'intestazione "content-type" il browser invia la richiesta OPTIONS all'endpoint e attiva un 403 che non consente il POST. Ho provato a bypassare questo usando plain / text e altre intestazioni, ma nessuna sembra funzionare.

Hai qualche idea su come procedere su questo? Ho sentito che inviare lo stesso tramite un file SWF funzionerebbe, ma devo provarlo.

    
posta StackB00m 17.04.2017 - 20:54
fonte

1 risposta

3

Puoi utilizzare seguenti tipi di contenuto senza accesso CORS:

  • application / x-www-form-urlencoded
  • multipart / form-data
  • text / plain

Puoi provare un paio di cose:

  • Prova a inviare JSON valido con un altro tipo di contenuto. Alcune implementazioni non guardano il tipo di contenuto.
  • Prova a inviare dati di moduli validi con il tipo di contenuto corretto. Alcune implementazioni accettano diversi modi per inviare i dati.

Se l'applicazione ha realmente bisogno del tipo di contenuto applicazione / json, non è possibile inviare una richiesta di origine incrociata.

    
risposta data 17.04.2017 - 21:40
fonte

Leggi altre domande sui tag

È possibile applicare bruteforce a un codice cvv? Quali sono le implicazioni dell'uso di un algoritmo DNSSEC "non sicuro" come RSA / MD5?