В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebSec

115 membersпожаловаться на группу
2018 June 01

NK

ID:72036040 in WebSec
Unexpected Token
Можно намострячить что-ибудь громоздкое
а обход какой?
источник
00:25пожаловаться#1

UT

Unexpected Token in WebSec
чтонибудь типа
const azazaNeugadaeshPeremennuyu = XMLHttpRequest;
Object.defineProperty('XMLHttpRequest', window, {
  get: () => azazaNeugadaeshPeremennuyu,
  configurable: true
})
источник
00:26пожаловаться#2

NK

ID:72036040 in WebSec
Unexpected Token
чтонибудь типа
const azazaNeugadaeshPeremennuyu = XMLHttpRequest;
Object.defineProperty('XMLHttpRequest', window, {
  get: () => azazaNeugadaeshPeremennuyu,
  configurable: true
})
хм, норм
источник
00:27пожаловаться#3

NK

ID:72036040 in WebSec
но смысл, в общем, в том что бы сначала первым скриптом забиндить все нативные методы =\
источник
00:27пожаловаться#4

NK

ID:72036040 in WebSec
гетер-то тоже переписать могут
источник
00:28пожаловаться#5

UT

Unexpected Token in WebSec
его динамически можо ставить
источник
00:28пожаловаться#6

UT

Unexpected Token in WebSec
на основе Crypto API например
источник
00:28пожаловаться#7

UT

Unexpected Token in WebSec
но сразу досвидания IE
источник
00:28пожаловаться#8

UT

Unexpected Token in WebSec
https://developer.mozilla.org/ru/docs/Web/API/Web_Crypto_API
Веб-документация MDN
Web Crypto API
Web Crypto API – интерфейс, позволяющий использовать криптографические примитивы для построения систем, манипулировать, хранить секретные ключи без необходимости делать доступными базовые биты ключа для JavaScript.
источник
00:30пожаловаться#9

NK

ID:72036040 in WebSec
Эх, как классно быть фронтендером =\
источник
00:33пожаловаться#10

UT

Unexpected Token in WebSec
Ты себе не представляешь
источник
00:35пожаловаться#11

NK

ID:72036040 in WebSec
Unexpected Token
Ты себе не представляешь
Я у меня достаточно историй с того времени как я фрилансил =D
источник
00:45пожаловаться#12

NK

ID:72036040 in WebSec
В общем надо токен хранить в куке, но AES его ключем, который рандомно бекенд при инициализации прислал. При этом ключ, соответственно, держать в замыкании и использовать каждый раз при необходимости своих запросов.
+ ssr возможно только с кукой.
Все.
источник
01:10пожаловаться#13

JD

John Doe in WebSec
как вариант можно создать фрейм и получить доступ к его контексту и из него достать нормальный XMLHttpRequest
источник
12:57пожаловаться#14

NK

ID:72036040 in WebSec
Эм. Нет?
источник
12:58пожаловаться#15

AY

Andrey Yankovsky in WebSec
Если есть xss уязвимость, то злоумышленник просто может отправить все необходимые данные себе. Нет смысла переопределять fetch.
источник
12:59пожаловаться#16

JD

John Doe in WebSec
в контексте воркера тоже нельзя переопределить xmlhttprequest или fetch хз что там
источник
13:00пожаловаться#17

JD

John Doe in WebSec
ID:72036040
Эм. Нет?
у каждого фрейма свой window, так что думаю да. но с условием, что фрейм с хостом на одном домене
источник
13:02пожаловаться#18

NK

ID:72036040 in WebSec
Andrey Yankovsky
Если есть xss уязвимость, то злоумышленник просто может отправить все необходимые данные себе. Нет смысла переопределять fetch.
Переопределив ветч можно мониторить все запросы от пользователя к серверу
источник
13:04пожаловаться#19

NK

ID:72036040 in WebSec
И если токен шифруется из ключа реалма - то это не поможет, если фетч за HOF мидлвары
источник
13:04пожаловаться#20