csp

  1. nachtblume

    csp bypass

    Доброго времени суток! Задача из root-me на script-src:unsafe-inline Условие задачи такое - на странице с xss дырой текст вида "...{flag}..". Эту переменную видит бот, которому можно скормить страницу для перехода, якобы для проверки. На деле - можно скинуть боту адрес исходный-домен/страница...
  2. nachtblume

    WAF bypass question

    Всем привет! Решаю стф на клиент. Есть такой url http://challenge01.root-me.org/web-client/ch8/page?user=<img id="this" src="images/arrow.svg" onload='var a = "scr"; var b = "ipt"; window.c = a+b; document.createElement(window.с)'> Если я алертом запрошу window.c то он покажет нужное(script), а...
  3. g00db0y

    Статья Фильтрация мусора и Content Security Policy (CSP) отчеты

    Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP) (на рус. "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с...