- Katılım
- 11 Ocak 2026
- Mesajlar
- 96
- Tepkime puanı
- 30
- Puan
- 18
Herkese iyi akşamlar
DİREK KONUYA GİRİYİM Bİ SİTE VAR ŞÖYLE DİYELİM ; example.com
Ve http post isteği attığımda (herhangi bir metodu kabul ediyoru post get delete farketmiyor) origin başlığında exaple.com gördüm
bende bunu bypass edebilirim galiba diyerek port swigger https://portswigger.net/web-security/ssrf/url-validation-bypass-cheat-sheet sitesine gittim
Sırayla denedim ve şöyle bi url response yansıdı : http://web-attacker.com.example.com ,Access-Control-Allow-Credentials: true ,Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS
normalde herhangi bir siteden cors kabul ettiğinde problem olmadan yapabiliyordum fakat, http://web-attacker.com.example.com bu domaini mi almam lazım yoksa başka bişimi gram anlamadım bilen biri varsa yazarsa sevinirim bypass ettim fakat bunun geçerliliği varmı impact nasıl göstericem eğer geçerliyse onu bilmiyorum veya çalıştığını nasıl kanıtlıcam bilmiyom
DİREK KONUYA GİRİYİM Bİ SİTE VAR ŞÖYLE DİYELİM ; example.com
Ve http post isteği attığımda (herhangi bir metodu kabul ediyoru post get delete farketmiyor) origin başlığında exaple.com gördüm
bende bunu bypass edebilirim galiba diyerek port swigger https://portswigger.net/web-security/ssrf/url-validation-bypass-cheat-sheet sitesine gittim
Sırayla denedim ve şöyle bi url response yansıdı : http://web-attacker.com.example.com ,Access-Control-Allow-Credentials: true ,Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS
normalde herhangi bir siteden cors kabul ettiğinde problem olmadan yapabiliyordum fakat, http://web-attacker.com.example.com bu domaini mi almam lazım yoksa başka bişimi gram anlamadım bilen biri varsa yazarsa sevinirim bypass ettim fakat bunun geçerliliği varmı impact nasıl göstericem eğer geçerliyse onu bilmiyorum veya çalıştığını nasıl kanıtlıcam bilmiyom
