自
Так, ща напишем про вебсокеты, кидайте идеи и лайфхаки, чего еще писать
напишите способы валидирования пользователя правильные на ваш взгляд
Size: a a a
2020 June 18
B
Типа csrf, но для сокетов
Ну, мы про эту атаку и говорили изначально
B
Спасибо за вопросики и пополнения котаны
P
NK
Websocket - это протокол.
Да, он сделан специально для браузера и работает поверх него, но является всего лишь транспортом для обмена данных, а в браузере для него нет каких-то механизмов безопасности, типа CORS.
Атакующий может создать специально сформированную страницу, которая подключается к уязвимому ресурсу при ее открытии. Отправив такую ссылку жертве - возможен перехват данных и любые действия от лица пользователя (смотря, что в ws реализовано).
Если веб-сервер ответил и создал подключение, то подключение произойдет, несмотря на различные заголовки, которые разработчик может попытаться вернуть в ответе, типа
Поэтому, подключать пользователя или нет, решает бэкэнд. Именно он должен определить, является ли пользователь и источник подключения легитимным. Обычно проверяют заголовок
Да, он сделан специально для браузера и работает поверх него, но является всего лишь транспортом для обмена данных, а в браузере для него нет каких-то механизмов безопасности, типа CORS.
Атакующий может создать специально сформированную страницу, которая подключается к уязвимому ресурсу при ее открытии. Отправив такую ссылку жертве - возможен перехват данных и любые действия от лица пользователя (смотря, что в ws реализовано).
Если веб-сервер ответил и создал подключение, то подключение произойдет, несмотря на различные заголовки, которые разработчик может попытаться вернуть в ответе, типа
X-Frame-Options, Access-Control-Allow-Origin и вот это всё.Поэтому, подключать пользователя или нет, решает бэкэнд. Именно он должен определить, является ли пользователь и источник подключения легитимным. Обычно проверяют заголовок
Origin или используют различные секреты (типа CSRF токена). Иногда это уже реализовано в библиотеках, но далеко не во всех. Еще забавно, что куки могут быть удалены, сессионный идентификатор может уже давно умереть, а подключение к вебсокету все еще работать.B
Задавайте ваши ответы
B
@efbeadde
А ты тут не картинками кидайся (а то забаню, тут же диктатура), а с контентом помогай
А ты тут не картинками кидайся (а то забаню, тут же диктатура), а с контентом помогай
👨n
ID:0
Websocket - это протокол.
Да, он сделан специально для браузера и работает поверх него, но является всего лишь транспортом для обмена данных, а в браузере для него нет каких-то механизмов безопасности, типа CORS.
Атакующий может создать специально сформированную страницу, которая подключается к уязвимому ресурсу при ее открытии. Отправив такую ссылку жертве - возможен перехват данных и любые действия от лица пользователя (смотря, что в ws реализовано).
Если веб-сервер ответил и создал подключение, то подключение произойдет, несмотря на различные заголовки, которые разработчик может попытаться вернуть в ответе, типа
Поэтому, подключать пользователя или нет, решает бэкэнд. Именно он должен определить, является ли пользователь и источник подключения легитимным. Обычно проверяют заголовок
Да, он сделан специально для браузера и работает поверх него, но является всего лишь транспортом для обмена данных, а в браузере для него нет каких-то механизмов безопасности, типа CORS.
Атакующий может создать специально сформированную страницу, которая подключается к уязвимому ресурсу при ее открытии. Отправив такую ссылку жертве - возможен перехват данных и любые действия от лица пользователя (смотря, что в ws реализовано).
Если веб-сервер ответил и создал подключение, то подключение произойдет, несмотря на различные заголовки, которые разработчик может попытаться вернуть в ответе, типа
X-Frame-Options, Access-Control-Allow-Origin и вот это всё.Поэтому, подключать пользователя или нет, решает бэкэнд. Именно он должен определить, является ли пользователь и источник подключения легитимным. Обычно проверяют заголовок
Origin или используют различные секреты (типа CSRF токена). Иногда это уже реализовано в библиотеках, но далеко не во всех. Еще забавно, что куки могут быть удалены, сессионный идентификатор может уже давно умереть, а подключение к вебсокету все еще работать.я всегда делаю так сказать временные ключи идентификации как раз чтобы соединение по сокету определять как валидное или невалидное
👨n
иначе просто хз как доверять тому что пользователь хотя бы на сайте находится)
P
L
Спасибо за вопросики и пополнения котаны
🤘
👾0
есть ли возможность посмотреть все что есть в докере? к примеру на сервере лежат проекты для деплоя, но линков я не знаю, рероятность того что я узнаю и солью что то есть?
👾0
или нужно иметь линк ?
B
Не оч понял
M
Вот не надо тут гнать на JS)
И тем более здесь должно было быть Node.js на картинке, так как другие языки там серверные.
И тем более здесь должно было быть Node.js на картинке, так как другие языки там серверные.
♦.
Чувствую себя этим клоуном, когда читаю здесь некоторые вещи)))
P
Это не клоун, это высокотехнологичный воин будущего, способный обескуражить противника )
👾0
Не оч понял
ну вот смотри, есть хост на котором висят images докера и их можно получать (сорцы проекта), так вот имеется ли возможно узнать сколько их там этих самых проектов
n
ну вот смотри, есть хост на котором висят images докера и их можно получать (сорцы проекта), так вот имеется ли возможно узнать сколько их там этих самых проектов
мне кажется, ты пару переменных в уравнении пропустил
B
ну вот смотри, есть хост на котором висят images докера и их можно получать (сорцы проекта), так вот имеется ли возможно узнать сколько их там этих самых проектов
Ну команды докера