JSONP

JSON Padding

Détection

un site peut potentiellement utiliser JSONP si dans le code vous voyez une URL en cours de chargement dans une balise <script> avec une fonction de rappel.

Exemples:

<script src="https://target.com/api/user/profile?callback=parseinfo"></script>
<script src="https://target.com/api/user/profile?jsonp=parseinfo"></script>

Exploitation

si le site utilise JSONP, voyez si vous pouvez intégrer une balise de script sur votre site et demandez les données sensibles encapsulées dans la charge utile JSONP.

PrécédentpostMessage()SuivantClickjacking

Dernière mise à jour il y a 2 ans