سوال در مورد نفوذ به سایت

[Riiza]

سلام سایتی که csp در اون پیاده سازی نشده
رو با چه روش و نرم افزارهایی میشه بهش نفوذ و به دیتابیسش دسترسی داشت؟
ممنون میشم راهنمایی کنید

[R3DN4X314]

در 4 ساعت قبل، Riiza گفته است :

سلام سایتی که csp در اون پیاده سازی نشده
رو با چه روش و نرم افزارهایی میشه بهش نفوذ و به دیتابیسش دسترسی داشت؟
ممنون میشم راهنمایی کنید

اینجوری نباید بهش نگاه کرد ، تفکر به این شکل در موردش غلطه

و اینکه همیشه عدم وجود لایه ی CSP به معنای رها کردن کامل بخش های پوششی اون نیست ، مثلا ممکنه عنصر <meta> جایگزینش شده باشه و ...

ولی اگه اصرار داری به این سبک یه تست بزنی ، میتونی از چک کردن XSS و packet sniffing attack شروع کنی

 

[Riiza]

در 13 دقیقه قبل، R3DN4X314 گفته است :

اینجوری نباید بهش نگاه کرد ، تفکر به این شکل در موردش غلطه

و اینکه همیشه عدم وجود لایه ی CSP به معنای رها کردن کامل بخش های پوششی اون نیست ، مثلا ممکنه عنصر <meta> جایگزینش شده باشه و ...

ولی اگه اصرار داری به این سبک یه تست بزنی ، میتونی از چک کردن XSS و packet sniffing attack شروع کنی

 

خب XSS و packet sniffing attack چک میکنم البته اگه بگید با چه نرم افزار یا روشی چک کنم

اما vulnerabilities های سایت بعد از اسکن این موارد:

Reverse proxy misrouting

Clickjacking: X-Frame-Options header missing

Content Security Policy (CSP) not implemented

هست خب شما چه راهکاری برای نفوذ پیشنهاد میدید