Neuer Can I Trust Test Case: Browser returns secret out of pre-cached response in a CORS-Request
Ein neuer Can I Trust Test Case ist online.
Diesmal geht es um folgendes Thema:
Wenn ein Browser einen authentifizierten Request an eine API schickt aber keine Cache-Control-Header in der Antwort erhält, ist es dann möglich, den gecachten (geheimen) Inhalt von einer fremde Website ohne authentifizieren abzurufen? Würde dies sogar Domain-übergreifend funktionieren?
Die Antwort finden Sie unter:
Was ist CanITrust.in?
Browser verfügen heutzutage standardmäßig über viele eingebaute Sicherheitsfunktionen, die dazu beitragen, das Internet sicherer zu machen. Obwohl dies eine großartige Sache ist, implementieren leider verschiedene Browser diese Funktionen etwas anders als andere Browser. Und manchmal unterscheiden sich die Implementierungen auch von Browserversion zu Browserversion.
An dieser Stelle kommt CanITrust.in zur Hilfe. Inspiriert durch die großartige caniuse.com haben wir eine Umgebung geschaffen, um all diese verschiedenen Sicherheitsfunktionen zu testen.
Recent posts
Tool Tuesday – sqlmap
Ist ihre Webanwendung anfällig für SQL Injection? Mit sqlmap können Sie es testen.
Attack Afternoon – CSRF Gegenmaßnahmen #1
CSRF Gegenmaßnahmen #1: Eine Möglichkeit, CSRF zu vermeiden, ist die Verwendung eines Anti-CSRF-Tokens.
Attack Afternoon – CSRF
CSRF steht für „Cross-Site Request Forgery“ und ist ein Klassiker unter den Angriffen auf Webanwendungen. Mit diesem Angriff ist es möglich, Nutzer bestimmte Aktionen ausführen zu lassen, ohne dass sie diese beabsichtigen. Aber wie funktioniert dieser Angriff genau?
it-sa 2019 – Lean Application Security
Auf der it-sa 2019 stellen wir unser innovatives Beratungskonzept Lean Application Security vor.
mgm sp @ Dresden
Unser zweites Büro befindet sich in Sachsens Landeshauptstadt, Dresden. Statten Sie unserem Standort dort einen Besuch ab!
