ハッカーは「単純な」コンテンツ タイプを使用して、GitHub によってホストされている数十の Web サイトで CSRF 保護をバイパスしました。
ハッキングは json ファイルを使用して行われ、コーディングの知識がなくても保存され、攻撃者に送信されました。
この手法を使用すると、ブラウザーは再フライト チェックをトリガーせずにリクエストを直接送信します。
ただし、悪意のあるorigin.nnndndns.netの検出には失敗しました。
endpoint.jsrfの脆弱性をテストするためにも使用されました。
コメント