Недавно на ZN:Web Village обсуждались способы обхода Content-Security-Policy, в том числе через использование JSONP колбэков из списка довереных доменов.
И тут в твитторе встретилась неплохая подборка таких коллбеков для самых разных сервисов! https://github.com/zigoo0/JSONBee/blob/master/jsonp.txt
Разберем на примере. Вот встретили вы такую политику:
Content-Security-Policy: default-src none; script-src 'unsafe-inline' 'nonce-rhg4nkW7bVP4DzlAfkMrdg==' *.yandex.net
А для Яндекса как раз есть пара примерчиков. Итого, наш мега-вектор принимает вид:
">
PWNED!
А вот и сама презентация https://clck.ru/EsdWb
Любопытно, что во многих случаях сервис всячески ругается ("Only alphabet or number allowed in JSONP "), но это не мешает работе байпаса.
Другие посты по теме...
Шифроденьги @encryptmymoney
Whitepaper: http://matchpool.co/wp-content/uploads/2016/12/Matchpool_Whitepaper_140117.pdf
Старт краудсейла: 25 марта 2017 год.
|
|
LIFEHACK VIDEO 💡 @LifeHackVideo
Любишь поиграть в казино, но собственные деньги нет желания тратить?💰
Любишь халяву, но не знаешь где её искать?🤔
Подписывайся на канал "BonusHunt" https://t.me/gambling_bonus !
На нём - ежедневная сводка всех...
|
|
Магазин онлайн - скидки, акции @shopru
Квадрат Пифагора: узнай характер по дате рождения.
Эти нехитрые вычисления помогут вам раскрыть характер человека. Для этого нужно узнать дату рождения.
И прочитать продолжение
|
|
Uzbek-MDK @uzmdk
Постановление о свадьбах в Узбекистане с 1 июля: что в нем будет
В Узбекистане с 1 июля может вступить в силу обсуждаемый сейчас проект Постановления, касающийся проведения торжеств. По сообщению членов Сената Олий...
|
|
MDK @mudak
МДКач, у меня важный вопрос: Вы когда-нибудь ебали бабу без сознания?
anonymous poll
Нет – 952
👍👍👍👍👍👍👍 88%
Да – 133
👍 12%
👥 1085 people voted so far.
|