mah_one Posted October 18, 2012 Report Posted October 18, 2012 (edited) Buna,Am gasit in google un request care nu are nici un fel de token pentru validarea acestuia si am crezut ca e CSRF.Dar in header am gasit un parametru care se numeste:"Authentication: X-Google-Auth" sau in alt request am gasit "X-Same-Domain: true" si nu au nici un fel de validare impotriva la atacuri CSRF.Tin sa va spun ca fara acel parametru "Authentication: X-Google-Auth" in header requestul va esua.Eu va intreb daca exista vreo posibilitate sa ii setez victimei sa trimita la google si acel parametru cu aceea constanta in header-> "Authentication: X-Google-Auth".Toate cele bune,Mah_one Edited October 18, 2012 by mah_one Quote
DarkyAngel Posted October 18, 2012 Report Posted October 18, 2012 nu tot ce zboar? se m?nânc?.ai gre?it categoria.nu, nu e un CSRF, ?i nu po?i "for?a" utilizatorul s? trimit? un alt parametru în chestia aia.. Quote
mah_one Posted October 18, 2012 Author Report Posted October 18, 2012 Multumesc pentru raspuns. Quote
