#10 > Ouep je connais la technique, elle m'a rapporté pas mal quand j'étais jeune et sans morale. Mais il me semble qu'il n'y a rien (dans ce domaine) qu'on puisse faire avec CORS qu'on ne peut pas déjà faire sans. Récupérer les identifiants de session PHP en exploitant les failles des BBCodes trop laxistes reste la faille la plus simple. Pour ça pas besoin de CORS, du Dynamic Script Loading suffit largement et sur le DSL, il n'y a aucune vérification de cross-domain. D'où le fait que mon premier speech sur XSS dans le contexte est un peu HS (hors-sujet au cas où tu aurais compris hors-service).
|
Messages dans ce sujet |
Compréhension du CORS - par niahoo - 24-07-2013, 10:49 AM
|