余弦:说说“当代 Web的JSON劫持技巧”
当代 Web 的 JSON 劫持技巧
http://paper.seebug.org/130/
猥琐流的家伙居然在OWASP重出江湖而且加入了Burp Suite那家公司。这篇技巧核心是__proto__,可以理解为JavaScript曾经的prototype在ES6里的增强,当代浏览器基本都支持了这个新标准。这个跨域技巧很有意思的,不过目前实战利用上“暂时鸡肋”…
里面还有个亮点是UTF-16BE技巧,这个技巧除了注意字符集差异带来的安全问题之外,还应该注意下:浏览器对待MIME类型检查的态度差异…
重点来了,欢迎更多人投稿安全技术文章给Seebug Paper,公益性的:-)
投稿方式见:
http://paper.seebug.org/call-for-paper/
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 明确权责为基层减负 4952742
- 2 直击神舟十八号发射现场 4915098
- 3 丈夫称妻子爬山失联主动发求救信息 4807869
- 4 逐梦苍穹 揽月九天 4735420
- 5 济南母女黄河边失踪 母亲遗体被找到 4603511
- 6 夫妻养2.8万只鸡 为省人工自己捡蛋 4594209
- 7 女子火车上如厕时130g黄金掉落铁轨 4426046
- 8 奶凶奶凶的交警姐姐找到了 4328477
- 9 深圳部分区域将取消限购不实 4248290
- 10 居民家中储存10吨53度白酒被罚 4194042