Vulnerabilidad de seguridad método AJAX
Publicado por Ruben (3 intervenciones) el 10/04/2018 16:52:52
Buenas tardes,
Tengo un problema de vulnerabilidad en mi WEB al utilizar AJAX método POST para pasar parámetros a un servicio JAVA.
En el network del navegador los parámetros que aparecen al ejecutarlo son:
Request URL : https://www........../contactabilidadEnvio.jsp
Request Method : Post
Status Code : 200 OK
Con esto entiendo que el AJAX se está generando como POST y el servicio JAVA que lo recive funciona correctamente pero la problemática es la siguiente;
Si ejecuto la URL https://www........../contactabilidadEnvio.jsp?param1=confidencial¶m2=confidencial2¶m3=confidencial3
En el network del navegador los parámetros que me aparecen son los siguientes:
Reques URL : https://www........../contactabilidadEnvio.jsp?param1=confidencial¶m2=confidencial2¶m3=confidencial3
Request Method : GET
Status Code : 200 OK
¿Porqué me deja llamar al servicio con parámetros en la URL y la función AJAX de mi fichero.js (la cuál está generada para que sea POST) me devuelve GET y encima el servicio JAVA funciona??
¿Se pueden pasar parámetros por URL y la función de JavaScript que realiza el AJAX POST es capaz de recogerlos de URL?
¿Como puedo evitar este funcionamiento para que si lanzo la llamada al servicio JAVa directamente con parámetros en la URL no funcione?
el archivo.js contiene una función para generar el AJAX con método POST de la siguiente manera genérica:
Espero haberme explicado bien, no puedo poner información sobre los ficheros puesto que son información un tanto sensible.
Cualquier comentario, información ayuda es de agradecer.
Un saludo y gracias de antemano,
Rubén
Tengo un problema de vulnerabilidad en mi WEB al utilizar AJAX método POST para pasar parámetros a un servicio JAVA.
En el network del navegador los parámetros que aparecen al ejecutarlo son:
Request URL : https://www........../contactabilidadEnvio.jsp
Request Method : Post
Status Code : 200 OK
Con esto entiendo que el AJAX se está generando como POST y el servicio JAVA que lo recive funciona correctamente pero la problemática es la siguiente;
Si ejecuto la URL https://www........../contactabilidadEnvio.jsp?param1=confidencial¶m2=confidencial2¶m3=confidencial3
En el network del navegador los parámetros que me aparecen son los siguientes:
Reques URL : https://www........../contactabilidadEnvio.jsp?param1=confidencial¶m2=confidencial2¶m3=confidencial3
Request Method : GET
Status Code : 200 OK
¿Porqué me deja llamar al servicio con parámetros en la URL y la función AJAX de mi fichero.js (la cuál está generada para que sea POST) me devuelve GET y encima el servicio JAVA funciona??
¿Se pueden pasar parámetros por URL y la función de JavaScript que realiza el AJAX POST es capaz de recogerlos de URL?
¿Como puedo evitar este funcionamiento para que si lanzo la llamada al servicio JAVa directamente con parámetros en la URL no funcione?
el archivo.js contiene una función para generar el AJAX con método POST de la siguiente manera genérica:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
function envioAjaxPost(....)
var formData1 = {
'param1' : param1,
'param2' : param2
}
jquery.ajax({
type : "POST",
url: "...................../contactabilidadEnvio.jsp"
data : formData1,
context: document.body,
success: function(data,textStatus)
{
lo que sea
},
errr:function(xhr, textStatus, errorThrown){}
Espero haberme explicado bien, no puedo poner información sobre los ficheros puesto que son información un tanto sensible.
Cualquier comentario, información ayuda es de agradecer.
Un saludo y gracias de antemano,
Rubén
Valora esta pregunta
0