记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

说说“当代 Web 的 JSON 劫持技巧”

2016-11-30 22:10

当代 Web 的 JSON 劫持技巧
http://paper.seebug.org/130/

猥琐流的家伙居然在OWASP重出江湖而且加入了Burp Suite那家公司。这篇技巧核心是__proto__,可以理解为JavaScript曾经的prototype在ES6里的增强,当代浏览器基本都支持了这个新标准。这个跨域技巧很有意思的,不过目前实战利用上“暂时鸡肋”…

里面还有个亮点是UTF-16BE技巧,这个技巧除了注意字符集差异带来的安全问题之外,还应该注意下:浏览器对待MIME类型检查的态度差异…

重点来了,欢迎更多人投稿安全技术文章给Seebug Paper,公益性的:-)

投稿方式见:
http://paper.seebug.org/call-for-paper/

知识来源: evilcos.me/?p=581

阅读:138444 | 评论:0 | 标签:Web Hack CSRF JS JSONP

想收藏或者和大家分享这篇好文章→复制链接地址

“说说“当代 Web 的 JSON 劫持技巧””共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词