馃煝
Web Application Penetration Testing
  • Inicio
  • General
    • Metodolog铆as y est谩ndares
    • Aplicaciones vulnerables
  • Reconocimiento y recolecci贸n de informaci贸n
    • Web Application Firewall (WAF)
    • Domain Name System (DNS)
    • Subdominios y Virtual Host (VHost)
    • SSL/TLS y algoritmos de cifrados
    • Certificados
    • Tecnolog铆as web
  • Escaneo y enumeraci贸n
    • HTTP security headers
    • HTTP methods (verbs)
    • Crawling y spidering
    • Fuzzing
      • Directorios
      • Archivos
      • Extensiones
      • Par谩metros
        • GET
        • POST
      • Wordlists
    • Compresi贸n y ofuscaci贸n
    • Herramientas automatizadas
  • Explotaci贸n
    • API keys
    • Clickjacking
    • HTTP methods (verbs)
    • Input data validation
    • HTTP Host header
    • Autenticaci贸n y autorizaci贸n
      • Cookie
      • JSON Web Token (JWT)
      • OAuth
      • SAML
    • Same-origin policy (SOP)
      • Cross-origin resource sharing (CORS)
    • Cross-site scripting (XSS)
    • Cross-site request forgery (CSRF)
    • File upload
    • Path traversal & file inclusion
    • Command injection
      • Node.js
    • SQL injection (SQLi)
      • MySQL / MariaDB
      • Microsoft SQL Server
      • PostgreSQL
      • Oracle
      • sqlmap
    • NoSQL injection (NoSQLi)
    • XML external entity (XXE) injection
    • CRLF injection
    • XPath injection
    • LDAP injection
    • PDF injection
    • Server-side template injection (SSTI)
    • Server-side include (SSI) injection
    • Server-side parameter pollution
    • Server-side request forgery (SSRF)
    • Web cache poisoning
    • HTTP request smuggling
    • GraphQL
    • Open redirect
    • Content Management System (CMS)
      • WordPress
    • Websocket
    • Deserialization
    • Flash
  • Checklist
    • Web application penetration testing
    • Web API penetration testing
Con tecnolog铆a de GitBook
En esta p谩gina

驴Te fue 煤til?

  1. Explotaci贸n

Same-origin policy (SOP)

Un origen se refiere a la combinaci贸n de un esquema, un nombre de dominio y un n煤mero de puerto. Los navegadores implementan una pol铆tica denominada same-origin policy (pol铆tica del mismo origen) con el fin de evitar que un origen tenga acceso a los recursos en un origen diferente.

La tabla a continuaci贸n ilustra c贸mo se implementa same-origin policy (SOP) cuando http://example.com/ intenta acceder a otros or铆genes:

URL accedida
驴Acceso permitido?

http://example.com/path/

Si: mismo esquema, dominio y puerto

http://example.com/path2/

Si: mismo esquema, dominio y puerto

http://example.com:8080/path/

No: diferente puerto

http://www.example.com/path/

No: diferente dominio

http://es.example.com/path/

No: diferente dominio

https://example.com/path/

No: diferente esquema y puerto

Sin embargo, el prop贸sito de same-origin policy (SOP) no es evitar que el navegador realice una solicitud hacia un recurso en otro origen, sino evitar que JavaScript pueda leer la respuesta recibida. Esto se asemeja funcionalmente a la flag de cookie HttpOnly, la cual impide que JavaScript acceda a la informaci贸n almacenada en una cookie, pero permite que el navegador la env铆e junto con solicitudes HTTP.

Same-origin policy (SOP) impide que JavaScript lea la respuesta, pero no bloquea la solicitud.

AnteriorSAMLSiguienteCross-origin resource sharing (CORS)

脷ltima actualizaci贸n hace 5 meses

驴Te fue 煤til?