![]() |
Всем привет
Собственно сабж. Нашел уязвимость на сайте, которая возвращает список интересных мне данных (т.е нужно отправить запрос и все. токенов и проверок нету) Но возможно ли составить такой код, чтобы отправить запрос и получить еще его ответ? iframe позволяет послать запрос (точнее он должен подгружать даденный юрл) но ответ от него не отловить |
Получить данные с другого сайта возможно если:
1) Они в формате JSONP 2) Это разрешено заголовком Access-Control-Allow-Origin 3) Это разрешено файлом crossdomain.xml |
Цитата:
Если все 3 пункта отрицательны то провести атаку и получить ответ никакими способами нельзя? |
Цитата:
|
Цитата:
Тема слишком обширная, чтобы описывать все возможные случаи. |
Тема на самом деле крайне актуальная, называется пробить крос-домен. Я бы на твоем месте поискал на атакуемом домене XSS, как самую часто встречающуюся дыру в инете и идеально подходящую (даже активная) для выполнения кросс-доменных запросов
|
| Время: 18:04 |