Neuer Can I Trust Test Case: Browser returns secret out of pre-cached response in a CORS-Request
Ein neuer Can I Trust Test Case ist online.
Diesmal geht es um folgendes Thema:
Wenn ein Browser einen authentifizierten Request an eine API schickt aber keine Cache-Control-Header in der Antwort erhält, ist es dann möglich, den gecachten (geheimen) Inhalt von einer fremde Website ohne authentifizieren abzurufen? Würde dies sogar Domain-übergreifend funktionieren?
Die Antwort finden Sie unter:
Was ist CanITrust.in?
Browser verfügen heutzutage standardmäßig über viele eingebaute Sicherheitsfunktionen, die dazu beitragen, das Internet sicherer zu machen. Obwohl dies eine großartige Sache ist, implementieren leider verschiedene Browser diese Funktionen etwas anders als andere Browser. Und manchmal unterscheiden sich die Implementierungen auch von Browserversion zu Browserversion.
An dieser Stelle kommt CanITrust.in zur Hilfe. Inspiriert durch die großartige caniuse.com haben wir eine Umgebung geschaffen, um all diese verschiedenen Sicherheitsfunktionen zu testen.
Recent posts
Update – WordPress Author Security
Update: Unser WordPress Author Security Plugin ist jetzt auch im WordPress Plugin Store verfügbar.
WordPress Author Security
Wie können Sie aktiv das Enummerieren von Nutzernamen über die Autorenseiten von WordPress verhindern?
Pentest FAQ – #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?
In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte.
Heute im Fokus: Fragen #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?
Attack Afternoon – CSRF Gegenmaßnahmen #2
CSRF Gegenmaßnahmen #2: Ein anderer, zustandslosen Weg zum Schutz vor CSRF, ist die Methode des Double Submit Cookie.
NinjaDVA – unsere Schulungsumgebung
Die NinjaDVA ist unsere komfortable und flexible Schulungsumgebung.
