KazHackStan

27 сентября состоится конференция KazHackStan. На мероприятии выступит Иван Чалыкин, Digital Security, с докладом «Легальный SOP Bypass. Проблемы внедрения CORS-подобных технологий».

Два разных домена обмениваться данными внутри браузера просто так не могут - запрещает Same Origin Policy. Но однажды это все таки потребовалось, и появился JSONP. Ему на смену пришла технология Cross-Origin Resource Sharing, сейчас также популярны websockets и postMessage.

Неправильное внедрение подобных механизмов может привести к утечке приватной информации с сайта, а в ряде случаев даже исполнению кода в ОС. В докладе будет рассмотрено, как детектировать такие технологии и как проверить безопасность их внедрения.