mastodon.world is one of the many independent Mastodon servers you can use to participate in the fediverse.
Generic Mastodon server for anyone to use.

Server stats:

8.1K
active users

#csrf

2 posts2 participants0 posts today

[Перевод] Обходим CSP nonce через дисковый кеш браузера

Эта статья описывает изощренную технику обхода Content Security Policy (CSP) на основе nonce-значений через эксплуатацию механизмов кеширования браузера. Автор демонстрирует, как комбинация CSS-инъекций, CSRF-атак и особенностей работы bfcache и дискового кеша может привести к выполнению произвольного JavaScript-кода даже при наличии строгой CSP.

habr.com/ru/articles/926614/

ХабрОбходим CSP nonce через дисковый кеш браузераСуть атаки Данное исследование описывает способ обхода Content Security Policy на основе nonce-значений в реалистичном сценарии. Автор создал небольшой таск на XSS для демонстрации уязвимости и...

[Перевод] Архитектурные принципы Spring Security. Часть первая

Команда Spring АйО перевела и адаптировала доклад Даниэля Гарнье-Муару “Spring Security Architecture Principles”, в котором на наглядных примерах рассказывается, как пользоваться возможностями Spring Security, не запутываясь на каждом шагу и не зарабатывая себе головную боль. Доклад будет опубликован тремя частями. В первой части будет рассказано об основных подходах к созданию цепочек фильтров, а также разработан простейший фильтр с красивым названием “Es prohibido” (“Это запрещено” в переводе с испанского).

habr.com/ru/companies/spring_a

ХабрАрхитектурные принципы Spring Security. Часть перваяЧасть первая Команда Spring АйО перевела и адаптировала доклад Даниэля Гарнье-Муару “Spring Security Architecture Principles”, в котором на наглядных примерах рассказывается, как пользоваться...

Docuware haz a whole lotta not giving a shit about CSRF.

"Hey, you are vulnerable to CSRF, see."

"HERE'S THE WRONG INSTRUCTIONS TO ADD SAMESITE TO THE COOKIE!"

"Those are wrong, and Samesite doesn't really fix CSRF, what about this auth header you are ignor"

"WE ARE FOLLOWING OWASP STANDARDS"

"Well, no, OWASP does mention samesite, and it's weaknesses, but this is asp.net, CSRF protection is built in if it is just enab"

"HERE'S THE WRONG INSTRUCTIONS TO ADD SAMESITE TO THE COOKIE!"

"We went over this, that doesn't wo"

"BUY OUR CLOUD VERSION!"

Fuck off.