GET запрос в ответе получаем JSON объект

Admin

Admin

Администратор
Иногда бывает, что в ответ на GET запрос в ответе получаем JSON объект, где может храниться чувствительная информация: какие-нибудь данные пользователя или даже CSRF-токен! И если раньше (https://portswigger.net/blog/json-hijacking-for-the-modern-web) мы могли «узнать» эту информацию, то сейчас это стало невозможным.
Однако всегда стоит проверить возможность добавить функцию обратного вызова и получить JSONP объект, который до сих пор можно захайджечить! Пример:
GET /api/user.info?callback=xek HTTP/1.1

Зачастую для вызова обратной функции у меня встречались следующие параметры:

callback
jsonp
cb
jp

А затем уже эксплуатируем обычный JSONP Hijacking, как в примерах ниже:
hackerone.com

Liberapay disclosed on HackerOne: Exploiting JSONP callback on...

@kapytein submitted a wonderful report describing an XSSI vulnerability in liberapay.com. During the initial review, we thought that the endpoint did not disclose data from profiles that had disabled sharing details on their profiles. However, @kapytein did provide us with additional information...
hackerone.com
hackerone.com

Liberapay disclosed on HackerOne: Exploiting JSONP callback on...

@kapytein submitted a wonderful report describing an XSSI vulnerability in liberapay.com. During the initial review, we thought that the endpoint did not disclose data from profiles that had disabled sharing details on their profiles. However, @kapytein did provide us with additional information...
hackerone.com

Кроме того, такую находку можно использовать для обхода CSP
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
АнАлЬнАя ЧуПаКаБрА UfoLabs рекомендует Вытащу ваш запрос со своих строк URL:LOG:PASS | EXTRACT YOUR REQUEST FROM MY DATABASE URL:LOG:PASS Ищу работу. Предлагаю свои услуги. 0
Support81 Seed → POST-запрос → пустой баланс: как устроена быстрая и чистая кража крипты через FreeDrain Новости в сети 0
K Интересно Отработаю свой Запрос GE в ваших логах Предоставляю работу. Ищу специалиста. 1
D Интересно Куплю (отработаю) запрос в базе USA valid mail :pass Предоставляю работу. Ищу специалиста. 1
O Чекну ваши базы на ваш запрос Полезные статьи 0
S [PK][DLL] Отправляем запрос любого типа Готовый софт 0
Z Создаем ссылку на запрос токена Фишинг, мошенничество, СИ 13
Support81 ИБ-исследователи vs. вендоры: кто в ответе за безопасность ПО? Новости в сети 0
PUZAN Получаем от 5к до 50к ₽ на халяву Способы заработка 3
semsvm Интересно Получаем трафик с пинтерест и зарабатываем Способы заработка 0
lizun Играем в Tapfantasy и получаем money$ Способы заработка 3
Little_Prince Получаем бесплатно The Forest Quartet+Out of Line [Epic Games] Раздачи и сливы 1
K Получаем NFT от Muzzle Run Раздачи и сливы 0
АнАлЬнАя ЧуПаКаБрА Получаем 100 DOGE (Халява) Раздачи и сливы 17
L Получаем доступ к чужому крипто-кошельку blockchain.com , Atomic Wallet и MetaMask Уязвимости и взлом 6
T Получаем верифицированный CDEK ID Анонимность и приватность 0
L Интересно Java - Получаем SHELL через Minecraft плагин Программирование 7
F Получаем 10 TRX за регистрацию, а так же 5 TRX за друга Способы заработка 1
Р Получаем виртуальный номер бесплатно Раздачи и сливы 3
Р Получаем Дедик microsoft Раздачи и сливы 1
G Интересно Получаем бесплатно Witcher 1 в GOG Новости в сети 1
Р Интересно Обходим ограничения сервиса AppOnFly Cloud и получаем бесплатный дедик! Анонимность и приватность 3
NickelBlack Интересно Получаем бесплатные,нормальные прокси каждый день и без ограничений Полезные статьи 0
NickelBlack Интересно Получаем 27$ на халяву Способы заработка 1
T Интересно Получаем посылки с Почты России анонимно Полезные статьи 1
X Получаем бесплатный дедик на 3 дня [2020] Раздачи и сливы 3
АнАлЬнАя ЧуПаКаБрА Получаем безлимитный google диск [2020] Раздачи и сливы 1
E Интересно Получаем доступ к зашифрованным ZIP-файлам Полезные статьи 1
АнАлЬнАя ЧуПаКаБрА Интересно Получаем халявную накрутку Соц.сетей [YouTube/VK/Inst] + БАГ Полезные статьи 1
A Получаем на халяву домен для своих нужд! Раздачи и сливы 5
A Бесплатно получаем сканы для верифа Раздачи и сливы 7
C Получаем доступ к админке роутера и поднимаем VPN. Уязвимости и взлом 0
S Интересно Хак для Xiaomi Camera. Получаем контроль над дешевой и практичной камерой наблюдения и приучаем ее к iOS Уязвимости и взлом 0
K Получаем 60 рублей с моментальным выводом Раздачи и сливы 0
Sasha3108 Получаем токены MCOFF сразу на кошелёк Способы заработка 0
Sasha3108 Получаем токены AXX сразу на кошелёк Способы заработка 2
E $199 Camtasia 9.X Получаем Оригинальную лицензию бесплатно! Полезные статьи 1
M Получаем доступ к удалённым сообщениям в WhatsApp Полезные статьи 0
Sasha3108 Получаем токены Qitcoin (QTC) сразу на кошелёк Способы заработка 0
Uno-uno Бесплатно (вместо 507₽) получаем 3 месяца подписки на Яндекс.плюс Раздачи и сливы 4
Sasha3108 Получаем 10$ на депозит (ограничено для 5000 участников) Способы заработка 2
Sasha3108 Получаем криптовалюту EcoG9Coin за регистрацию на бирже Способы заработка 0
Sasha3108 Получаем 1500 QLC сразу на кошелёк (~15$) Способы заработка 0
Sasha3108 Получаем токены Monnos сразу на кошелёк Программирование 0
ev0117434 Интересно Получаем бесплатный WiFi в вашем городе Уязвимости и взлом 21
Admin Получаем доступ к чужим майнерам, используя OSINT Уязвимости и взлом 4
АнАлЬнАя ЧуПаКаБрА INLINE Получаем статистику посещений для сайтов Готовый софт 0
F Получаем 5 голосов вк на халяву Раздачи и сливы 9
T Получаем доступ к FTP через стиллер Полезные статьи 0
N Пишем отзывы и получаем от 200 рублей в день. Способы заработка 12

Название темы