続 Yahoo広告配信用 s.yimg.jp ドメインでのXSSの解説(JSONP XSS編)

テクノロジーカテゴリーの変更を依頼記事元:

gist.github.com/masatokinugawa

14 usersがブックマークコメント

コメント

0

記事へのコメント0件

注目コメント
新着コメント

新着コメントはまだありません。
このエントリーにコメントしてみましょう。

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

続 Yahoo広告配信用 s.yimg.jp ドメインでのXSSの解説(JSONP XSS編)

zoku_yimg_jp_dom_xss.md 2/7 malaさんの記事を読む https://gist.github.com/mala/1d30e42e9e99520b7a5... zoku_yimg_jp_dom_xss.md 2/7 malaさんの記事を読む https://gist.github.com/mala/1d30e42e9e99520b7a501e9d2458eb49 確かに (*.)yahoo.co.jp には制限されている。 (*.)yahoo.co.jpは知恵袋からヤフオクまで大量のページを持っている。どこがスクリプトとしてロードされてもXSSが起きない？そんな訳なさそう。そのときのぼやき： https://twitter.com/kinugawamasato/status/828846516882116608 2/8 JSONPを使ったXSSの発見・報告 (*.)yahoo.co.jpにcallback名を指定できるJSONPをみつける。 callback名はバリデーションがなく、好きな文字列を書ける。 (現在はcallbackパラメータ自

ブックマークしたユーザー

kage31112020/01/19
cubed-l2017/03/06
tyage2017/03/04
hasegawayosuke2017/03/04
sucrose2017/03/04
nabinno2017/03/04
Hiro_Matsuno2017/03/03
ionis2017/03/03
punitan2017/03/03

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx