余弦：说说“当代 Web的JSON劫持技巧”

当代 Web 的 JSON 劫持技巧 http://paper.seebug.org/130/ 猥琐流的家伙居然在OWASP重出江湖而且加入了Burp Suite那家公司。这篇技巧核心是__proto__，可以理解为JavaScript曾经的prototype在ES6里的增强，当代浏览器基本都支持了这个新标准。这个跨域技巧很有意思的，不过目前实战利用上“暂时鸡肋”… 里面还有个亮点是UTF-16BE技巧，这个技巧除了注意字符集差异带来的安全问题之外，还应该注意下：浏览器对待MIME类型检查的态度差异… 重点来了，欢迎更多人投稿安全技术文章给Seebug Paper，公益性的:-) 投稿方式见： http://paper.seebug.org/call-for-paper/

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：http://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/