Кавычка

999

12 Дек 2018

Недавно на ZN:Web Village обсуждались способы обхода Content-Security-Policy, в том числе через использование JSONP колбэков из списка довереных доменов.

И тут в твитторе встретилась неплохая подборка таких коллбеков для самых разных сервисов! https://github.com/zigoo0/JSONBee/blob/master/jsonp.txt

Разберем на примере. Вот встретили вы такую политику:

Content-Security-Policy: default-src none; script-src 'unsafe-inline' 'nonce-rhg4nkW7bVP4DzlAfkMrdg==' *.yandex.net

А для Яндекса как раз есть пара примерчиков. Итого, наш мега-вектор принимает вид:

PWNED!

А вот и сама презентация https://clck.ru/EsdWb

Любопытно, что во многих случаях сервис всячески ругается ("Only alphabet or number allowed in JSONP "), но это не мешает работе байпаса.

Открыть этот пост в Telegram

Другие посты по теме...

	Шифроденьги @encryptmymoney Whitepaper: http://matchpool.co/wp-content/uploads/2016/12/Matchpool_Whitepaper_140117.pdf Старт краудсейла: 25 марта 2017 год.
	LIFEHACK VIDEO 💡 @LifeHackVideo Любишь поиграть в казино, но собственные деньги нет желания тратить?💰 Любишь халяву, но не знаешь где её искать?🤔 Подписывайся на канал "BonusHunt" https://t.me/gambling_bonus ! На нём - ежедневная сводка всех...
	Магазин онлайн - скидки, акции @shopru Квадрат Пифагора: узнай характер по дате рождения. Эти нехитрые вычисления помогут вам раскрыть характер человека. Для этого нужно узнать дату рождения. И прочитать продолжение
	Uzbek-MDK @uzmdk Постановление о свадьбах в Узбекистане с 1 июля: что в нем будет В Узбекистане с 1 июля может вступить в силу обсуждаемый сейчас проект Постановления, касающийся проведения торжеств. По сообщению членов Сената Олий...
	MDK @mudak МДКач, у меня важный вопрос: Вы когда-нибудь ебали бабу без сознания? anonymous poll Нет – 952 👍👍👍👍👍👍👍 88% Да – 133 👍 12% 👥 1085 people voted so far.