О проекте
Мы занимаемся техническими обзорами сервисов и проверкой доступности интеграций с внешними порталами.
Проверка интеграции с порталом техподдержки
Ниже можно проверить, доступен ли ответ API портала техподдержки Тюменской области при запросе с нашего сайта (с учётом вашей текущей сессии в браузере).
Как проверить:
- В этой же вкладке или в другой вкладке этого браузера откройте портал sd.72to.ru и войдите (через Госуслуги или по логину и паролю).
- Вернитесь на эту страницу и нажмите кнопку «Проверить доступность API».
- Если ниже отобразится тело ответа от сервера sd.72to.ru — запрос с нашего домена смог прочитать ответ API (с вашими учётными данными).
Текущий сайт (origin):
Способ 1 — запрос через fetch (доказывает CORS: наш скрипт читает ответ API). В современных браузерах куки в cross-origin fetch могут не отправляться (SameSite), поэтому часто приходит 401.
Способ 2 — открыть ответ API в новой вкладке. При переходе по ссылке браузер отправляет куки. Если сервер вернёт «Wrong requested func» при прямом переходе — ручка может быть доступна только со страниц портала; тогда используйте любой рабочий URL из Burp (см. ниже).
Подставить свой URL из Burp (GET, с fixIE):
Вводимые данные в реальном времени (PoC XSS keylog)
Данные с приёмника xss-poc/log.php. Обновление каждые 2 сек. Только для проверки PoC на своих сайтах.
Последовательность нажатий:
Последние записи:
| Время | Символ | Откуда (referer) |
|---|