csp
-
csp bypass
Доброго времени суток! Задача из root-me на script-src:unsafe-inline Условие задачи такое - на странице с xss дырой текст вида "...{flag}..". Эту переменную видит бот, которому можно скормить страницу для перехода, якобы для проверки. На деле - можно скинуть боту адрес исходный-домен/страница...- nachtblume
- Тема
- csp xss
- Ответы: 4
- Раздел: Вопросы и ответы по кибербезопасности
-
WAF bypass question
Всем привет! Решаю стф на клиент. Есть такой url http://challenge01.root-me.org/web-client/ch8/page?user=<img id="this" src="images/arrow.svg" onload='var a = "scr"; var b = "ipt"; window.c = a+b; document.createElement(window.с)'> Если я алертом запрошу window.c то он покажет нужное(script), а...- nachtblume
- Тема
- csp ctf waf
- Ответы: 1
- Раздел: Вопросы и ответы по кибербезопасности
-
Статья Фильтрация мусора и Content Security Policy (CSP) отчеты
Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP) (на рус. "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с...- g00db0y
- Тема
- browser csp xss
- Ответы: 0
- Раздел: Статьи сообщества