Большой post запрос это сколько? Никогда такого не ловил

Под 1 мб

Хм, грузил запросы с картинками по 5,7 мб, все норм

Я раньше тоже нормально все грузил…. пока бурп не купил )))) Вот как только купил - начались проблемы с этой ошибкой ))

Скачай кряк))

Ну это шутка (или нет). Но на самом деле, смотрю - люди сталкивались с этой же проблемой, но по заверениям разрабов - все пофиксили в 2020.1..

https://ibb.co/wSSTsq0   Можно тут на xxe надеяться ? (После плюсов ответ)

Переехать на более строю версию можно

сперва я не понял, зачем фотать экран, мы что, в Одноклассниках? Ведь есть скриншоты.

А потом  понял —ну а как иначе всем показать, что у тебя АЙФОН

Мда) заморочился, проверил

На рабочей машине может не быть ничего, кроме работы)

Картинки не могу постить здесь(нет прав)

по request smuggling - когда James kettle показал свой кейс с paypal - как он смог прочесть логин и пароль пользователей, которые используют safari или IE

он смог "заразить" js файл paypal на свой js файл, которые потом подгружается для юзера

вот после всех действий - он там еще смог обойти csp через iframe он пишет в статье - and steal plaintext PayPal passwords from everyone who logged in using Safari or IE.

и вот никак не могу понять как он смог прочесть в открытом виде логин и пароль
какая может быть угроза, если получилось заразить js файл через cache poisoning и подменить на свой js файл

Все просто

Js может получать значение инпутов до их отправки

Хз почему сафари и ие

Видимо связанно с цсп

получается он скопировал полностью js файл paypal залил на свой сервак и изменил его - файлик с сервера james kettle закешировался, и теперь используется его файлик,  или оставил как есть?

Дописал свой код скорее всего да, чтобы не отвалилось ничего