Кавычка
@webpwn
Иногда бывает, что в ответ на GET запрос получаем JSON объект, где может храниться чувствительная информация: какие-нибудь данные пользователя или даже CSRF-токен! И если раньше мы могли «узнать» эту информацию, то сейчас это стало невозможным.
Однако всегда стоит проверить возможность добавить функцию обратного вызова и получить JSONP объект, который до сих пор можно захайджечить! Пример:
Зачастую для вызова обратной функции у меня встречались следующие параметры:
А затем уже эксплуатируем обычный JSONP Hijacking, как в примерах ниже:
https://hackerone.com/reports/361951
https://hackerone.com/reports/9775
https://hackerone.com/reports/361951
Кроме того, такую находку можно использовать для обхода CSP, как писали тут ранее.
Однако всегда стоит проверить возможность добавить функцию обратного вызова и получить JSONP объект, который до сих пор можно захайджечить! Пример:
GET /api/user.info?callback=xek HTTP/1.1Зачастую для вызова обратной функции у меня встречались следующие параметры:
callback
jsonp
cb
jp
А затем уже эксплуатируем обычный JSONP Hijacking, как в примерах ниже:
https://hackerone.com/reports/361951
https://hackerone.com/reports/9775
https://hackerone.com/reports/361951
Кроме того, такую находку можно использовать для обхода CSP, как писали тут ранее.
PortSwigger Research
JSON hijacking for the modern web
I presented this topic at OWASP London and Manchester. You can find the talk and slides below: Slides from OWASP London talk Benjamin Dumke-von der Ehe found an interesting way to steal data cross dom
149 15.3K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram