Kann die Same Origin Policy virtuelle Netzwerk-Tests

Question

I Forschung machte für Arbeit Projekt

Es scheint gleiche Ursprung Politik ist sehr starke Politik auf Same Origin Policy verletzt werden und nicht gebrochen werden kann?

Ich habe iframes, CSS-Geschichte URL Hack als mögliche Wege getestet, um es zu brechen.

Ich habe mich gefragt, ob irgendwelche Ideen zu möglichen Tests, die ich durchführen könnte, ob sie funktionieren würden oder nicht, die gleiche Herkunft Politik zu testen. Gibt es ein einfaches Tutorial, wie DNS-Rebinding vielleicht in einer virtuellen Netkit-Umgebung durchgeführt wird?

Dank

Answer 1

Zunächst einmal sollten Sie mater, was die Same Origin Policy (SOP) zur Folge hat, und die Browser Secuirty Handbook ist eine großartige Ressource für das.

Demnach gibt es viele Möglichkeiten, wie Websites den Schutz, den ihnen die SOP gewährt, widerrufen. XSS ist ein gutes Beispiel, weil damit auf Daten in einer anderen Domäne zugegriffen werden kann. Ein gutes Beispiel hierfür ist the samy worm.

Cross-Site Request Forgery Angriffe werden durch die SOP nicht verhindert. Die Idee ist, dass Sie Anfragen senden können, aber Sie können die Antwort nicht lesen. Bei diesem Angriff verursacht die Anfrage einen Nebeneffekt, wie das Ändern des Passworts eines Benutzers.

Clickjacking ist ein weiteres Beispiel für einen Fehler, bei dem Ereignisse (Mausbewegungsereignisse, Klickereignisse, Tastenanschlagsereignisse) an eine andere Domäne weitergegeben werden und Probleme verursachen können.

Dann Menschen umgehen die SOP, CORS und JSONP ist ein gutes Beispiel. Es gibt auch die Datei crossdomain.xml des Flash.

Und nicht zuletzt SOP bypass vulnerabilities are incredibly common in browsers..