DVWA
  • Introduction
  • About The Author
  • Brute Force
    • Pengenalan
    • Low
    • Medium
    • High
  • Command Injection
    • Pengenalan
    • Low
    • Medium
    • High
  • CSRF
    • Pengenalan
    • Low
    • Medium
    • High
  • File Inclusion
    • Pengenalan
    • Low
    • Medium
    • High
  • File Upload
    • Pengenalan
    • Low
    • Medium
    • High
  • SQL Injection
    • Pengenalan
    • Low
    • Medium
    • High
  • SQL Injection (Blind)
    • Pengenalan
    • Low
    • Medium
    • High
  • XSS (DOM)
    • Pengenalan
    • Low
    • Medium
    • High
  • XSS (Reflected)
    • Pengenalan
    • Low
    • Medium
    • High
  • XSS (STORED)
    • Pengenalan
    • Low
    • Medium
    • High
  • CSP Bypass
    • Pengenalan
    • Low
    • Medium
    • High
Powered by GitBook
On this page
  • Apa itu CSP?
  • Headers

Was this helpful?

  1. CSP Bypass

Pengenalan

Berkenalan dengan CSP Bypass

Content Security Policy (CSP) adalah kebijakan keamanan browser. Jika label atau HTTP header mengembalikan CSP label, maka browser akan menentukan resource mana saja yang bisa dimuat atau dieksekusi berdasarkan isi label.

Apa itu CSP?

Content Security Policy atau disingkat CSP adalah teknologi browser bawaan yang membantu melindungi dari serangan seperti XSS.

Ini daftar dan menjelaskan paths dan sources, dari mana browser dapat membuat resource dengan aman. Resiurcer tersebut dapat mencakup gmabar, frame, javascript, dan lainnya.

Berikut ini adalah contoh yang memungkinkan resource dari domain lokal (self) untuk dimuta dan dieksekusi in-line dan memungkinan string code mengekesusi fungsi seperti eval, setTimeout atau setInterval:

Content-Security-Policy: default-src 'self' 'unsafe-inline' 'unsafe-eval';

Headers

  • Content-Security-Policy

  • Content-Security-Policy-Report-OnlyYang ini tidak akan memblokir apa pun, hanya mengirim laporan (gunakan di Pre Environment).

PreviousHighNextLow

Last updated 5 years ago

Was this helpful?