Kd
Вкидывать надо сразу с контекстом, а не "json массивы уязвимы!!!111"
пыщщ
Size: a a a
2020 September 14
VP
Если у пользователя решето, которое раздаёт его данные всем подряд, тут уже ничего не поможет
VP
Но уязвимость интересная, кто нашёл - молодец
Kd
ну вариант атаки не совсем нереальный. провайдеры же например рекламу встраивают в страницу
VP
Konstantin dmz9
ну вариант атаки не совсем нереальный. провайдеры же например рекламу встраивают в страницу
Нет HTTPS - получай
Kd
что мешает мошенникам встроить переопределение конструктора массива в жс? ой да все бред кароче
AK
Вкидывать надо сразу с контекстом, а не "json массивы уязвимы!!!111"
в лучших традициях интернетов
ШОК! ВНЕБРАЧНЫЙ СЫН БАСКОВА ПОПАЛ В РЕАНИМАЦИЮ УВИДЕВ ЭТОТ JSON...
ВСЕГО ОДИН МАССИВ И ЛЫСИНА ИСЧЕЗНЕТ, СМОТРЕТЬ...
ШОК! ВНЕБРАЧНЫЙ СЫН БАСКОВА ПОПАЛ В РЕАНИМАЦИЮ УВИДЕВ ЭТОТ JSON...
ВСЕГО ОДИН МАССИВ И ЛЫСИНА ИСЧЕЗНЕТ, СМОТРЕТЬ...
AM
Konstantin dmz9
что мешает мошенникам встроить переопределение конструктора массива в жс? ой да все бред кароче
Я может тупой, но если тебе в страницу могут встроить любой код, по-моему у тебя проблемы чуть более страшные, чем десериализация жисона.
Kd
Я может тупой, но если тебе в страницу могут встроить любой код, по-моему у тебя проблемы чуть более страшные, чем десериализация жисона.
например жытие в стране где провайдеры себе позволяют пихать рекламу куда попало
QH
Я может тупой, но если тебе в страницу могут встроить любой код, по-моему у тебя проблемы чуть более страшные, чем десериализация жисона.
там идея в том, что злоумышленник себе на сайт подключает твой джейсон, как скрипт
AM
Я может тупой, но если тебе в страницу могут встроить любой код, по-моему у тебя проблемы чуть более страшные, чем десериализация жисона.
Почему, собственно, HTTP только для статики и можно использовать (и то на мой взгляд херовая затея, а аргументы против HTTPS слабенькие)
AM
Konstantin dmz9
например жытие в стране где провайдеры себе позволяют пихать рекламу куда попало
С терминированием SSL на мощностях провайдера? Так с HSTS браузеры даже такому доверять не будут.
Kd
такие ассеты с цдн раздают обычно
Kd
можно даже на сайт не лазить а цдн поломать. тихонечка
AM
там идея в том, что злоумышленник себе на сайт подключает твой джейсон, как скрипт
Ок, я сто лет назад об этом читал, позабыл уже. Перечитаю.
VP
там идея в том, что злоумышленник себе на сайт подключает твой джейсон, как скрипт
Я, может, тупой, но разве законно исполнять
application/json как скрипт?Kd
Я, может, тупой, но разве законно исполнять
application/json как скрипт?для исполнения jsonp придумали
QH
Я, может, тупой, но разве законно исполнять
application/json как скрипт?лол, хороший вопрос
QH
Konstantin dmz9
для исполнения jsonp придумали
собственно, эта «атака» делает jsonp просто эталоном дырявости
Kd
наверно надо сделать скидку на возраст статьи, 2008 год, еще поголовного хттпс не завезли