Web - Client

lundi 23 novembre 2020, 16:21  #1
Web - Client CSP inline code
.Yo0x
.Yo0x
  • 13 posts

Bonjour,
J’ai compris le principe de CSP j’ai aussi compris qu’en fonction des "filtre" il est possible d’éviter les fail XSS
il existe de nombreux payload permettant de bypass CSP en fonction de la configuration du CSP.
Est-il possible de savoir quelle est la configuration CSP d’un champs ?
avez vous des piste de recherche à me donner ? car j’ai essayer plusieurs bypass pour que le site exécute un alert par exemple mais impossible.

Merci d’avance

lundi 23 novembre 2020, 18:55  #2
Web - Client CSP inline code
Th1b4ud
Th1b4ud
  • 1636 posts

Vu que tu me dis "J’ai compris le principe de CSP" tu devrais pouvoir répondre à ta question "Est-il possible de savoir quelle est la configuration CSP d’un champs ?" non ?

https://csp-evaluator.withgoogle.com/ <- essaie ça

mardi 24 novembre 2020, 09:03  #3
Web - Client CSP inline code
.Yo0x
.Yo0x
  • 13 posts

Oui et j’ai déja essayer ça mais l’application csp evaluator ne trouve pas de CSP dans le header
No CSP headers found for this domain !
je voit pas comment faire le bon payload trouver la configuration CSP

mardi 24 novembre 2020, 09:05  #4
Web - Client CSP inline code
.Yo0x
.Yo0x
  • 13 posts

j’ai trouver le code
désolée je n’avais pas réfléchis

Nouvelle réponse Nouvelle réponse   Nouveau sujet Nouveau sujet