q
да, гет - 302, пост - 200( даже на пустой)
Size: a a a
2020 March 16
P
так вы не откиыдвайте 302
КР
Ребят, есть кто из "синих"? Подскажите, если есть какие идеи, что можно добавить в микросервис для фильтрации параметров.
То есть, идея в том, чтобы трафик пускать через микросервис.
На микросервис приходит JSON, в котором нужно отфильтровать весь мусор (оставить только "правильные" данные).
На данный момент "фильтр" выглядит так:
+ нульбайты и ASCII-only
То есть, идея в том, чтобы трафик пускать через микросервис.
На микросервис приходит JSON, в котором нужно отфильтровать весь мусор (оставить только "правильные" данные).
На данный момент "фильтр" выглядит так:
.replace(u"&", u"&") \
.replace(u'"', u""") \
.replace(u"'", u"'") \
.replace(u"<", u"<") \
.replace(u">", u">")
+ нульбайты и ASCII-only
q
серв вместо 404 ее отдает
P
Ребят, есть кто из "синих"? Подскажите, если есть какие идеи, что можно добавить в микросервис для фильтрации параметров.
То есть, идея в том, чтобы трафик пускать через микросервис.
На микросервис приходит JSON, в котором нужно отфильтровать весь мусор (оставить только "правильные" данные).
На данный момент "фильтр" выглядит так:
+ нульбайты и ASCII-only
То есть, идея в том, чтобы трафик пускать через микросервис.
На микросервис приходит JSON, в котором нужно отфильтровать весь мусор (оставить только "правильные" данные).
На данный момент "фильтр" выглядит так:
.replace(u"&", u"&") \
.replace(u'"', u""") \
.replace(u"'", u"'") \
.replace(u"<", u"<") \
.replace(u">", u">")
+ нульбайты и ASCII-only
Я бы на вашем месте не изобретал а нашел бы готовое
P
какой нить Санитайз JS блаблала
КР
Я бы на вашем месте не изобретал а нашел бы готовое
всё не так просто, к сожалению. Руки скованы - у заказчика всё строго. И подобный микросервис - самый разумный выход :)
P
Я имею правила сами поищите готовые
P
серв вместо 404 ее отдает
А чем вас не устроил wfuzz ???
q
А чем вас не устроил wfuzz ???
рассматриваю варианты)
P
вфаз прекрасная утилитка, я ей пользуюсь на постонно основе, зачем искать альтернативы если оно работает ине плохо
q
варианты всегда интересны)
BF
ffuf
BF
(Я если что сейчас жопой по телефону не проехался, это название утилиты)
q
:) знаем такую, спасибо
L
ffuf стильный какой-то, wfuzz похардкорнее будет
P
тут же еще ньюанс. Вы ж должны постом передать правильные данные на шел иначе вам будет тот же 302 редирект. Тогда какой смсл дергать файл постом елси вы не знате какие ему параметры нужны
BF
тут же еще ньюанс. Вы ж должны постом передать правильные данные на шел иначе вам будет тот же 302 редирект. Тогда какой смсл дергать файл постом елси вы не знате какие ему параметры нужны
А необязательно
BF
Есть шеллы с вебовыми оболочками
n
варианты всегда интересны)
можешь посмотреть https://github.com/0xn3va/fuzdir может решит твои проблемы
