在application/json下进行XSS

  • 在application/json下进行XSS已关闭评论
  • A+
所属分类:动态

在application/json,application/javascript等Response下进行XSS

在application/json下进行XSS

via:Mramydnei前不久在日本比较著名的XSS会议ShibuyaXSS上,著名漏洞猎人,Cure53成员Masato kinugawa
在会议上分享了个比较有趣的Internet Explorer的BUG。借助该BUG可以在application
/xx的response下优雅的完成XSS攻击。POC.htm

 

redirect.php

 

json.php

在application/json下进行XSS

测试于Windows7/Internet Explorer 11

解决方案:
设置X-Content-Type-Options头 -> header(‘X-Content-Type-Options: nosniff’);

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin