csp
-
Статья XSS-атака без секретов: от простого alert до захвата сессии
You must be registered for see element. Зачем нам снова говорить про XSS в 2025? Казалось бы, про XSS (Cross-Site Scripting) не слышал только ленивый. Уязвимость стара как мир, но почему мы опять поднимаем эту тему? Все просто. Загляните в свежие отчеты о пентестах или на Bug Bounty платформы...- Сергей Попов
- Тема
- content-security-policy cross-site scripting csp dom xss javascript owasp reflected xss stored xss xss веб-безопасность защита от xss информационная безопасность уязвимости
- Ответы: 0
- Раздел: Анализ уязвимостей и исследования
-
csp bypass
Доброго времени суток! Задача из root-me на script-src:unsafe-inline Условие задачи такое - на странице с xss дырой текст вида "...{flag}..". Эту переменную видит бот, которому можно скормить страницу для перехода, якобы для проверки. На деле - можно скинуть боту адрес исходный-домен/страница...- nachtblume
- Тема
- csp xss
- Ответы: 4
- Раздел: Вопросы и Ответы по ИБ (Q&A)
-
WAF bypass question
Всем привет! Решаю стф на клиент. Есть такой url http://challenge01.root-me.org/web-client/ch8/page?user=<img id="this" src="images/arrow.svg" onload='var a = "scr"; var b = "ipt"; window.c = a+b; document.createElement(window.с)'> Если я алертом запрошу window.c то он покажет нужное(script), а...- nachtblume
- Тема
- csp ctf waf
- Ответы: 1
- Раздел: Вопросы и Ответы по ИБ (Q&A)
-
Статья Фильтрация мусора и Content Security Policy (CSP) отчеты
Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP) (на рус. "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с...- g00db0y
- Тема
- browser csp xss
- Ответы: 0
- Раздел: Статьи и новости кибербезопасности