说说“当代 Web 的 JSON 劫持技巧”
source link: https://evilcos.me/?p=581
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
EVILCOS
//:alert(/Hacking Symbol/)//余弦
大家正在看
- [zz]浏览器urlencode策略差异导致XSS风险 - 17,130 views
- papers更新 - 17,131 views
- [zz]http-waf-detect.nse - 17,178 views
- [zz]关于kcon v2我的一些见解 - 17,182 views
- 关于思维模式 - 17,359 views
- 从攻到防 - 17,362 views
- 27G数据库 - 17,371 views
- 幻影webzine 0x06发布! - 17,404 views
- 写书有感1 - 17,469 views
- 进入android安全,玩玩先 - 17,476 views
- 我们要如何思考 - 17,499 views
- [zz]xss to root android - 17,517 views
- 2012.1.2 - 17,632 views
- CSP1.0进入Firefox - 17,653 views
- web2hack.org改版上线 - 17,659 views
- 近况 - 17,663 views
- 关于方法论与其他闲言碎语 - 17,664 views
- 一件事都没做好 - 17,669 views
- 保护好你的referer - 17,671 views
- 你的Cookie安全吗?! - 17,673 views
说说“当代 Web 的 JSON 劫持技巧”
当代 Web 的 JSON 劫持技巧
http://paper.seebug.org/130/
猥琐流的家伙居然在OWASP重出江湖而且加入了Burp Suite那家公司。这篇技巧核心是__proto__,可以理解为JavaScript曾经的prototype在ES6里的增强,当代浏览器基本都支持了这个新标准。这个跨域技巧很有意思的,不过目前实战利用上“暂时鸡肋”…
里面还有个亮点是UTF-16BE技巧,这个技巧除了注意字符集差异带来的安全问题之外,还应该注意下:浏览器对待MIME类型检查的态度差异…
重点来了,欢迎更多人投稿安全技术文章给Seebug Paper,公益性的:-)
About 余弦
一个符号而已 View all posts by 余弦 →
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK