JSONBee：突破网站内容安全策略的利器

JSONBee：突破网站内容安全策略的利器

JSONBeeA ready to use JSONP endpoints/payloads to help bypass content security policy (CSP) of different websites.项目地址:https://gitcode.com/gh_mirrors/js/JSONBee

项目介绍

【JSONBee】是一个专为绕过网站内容安全策略（CSP）设计的实用工具。它源于2018年Kiev的HackIT大会，并在会议上进行了展示。该项目的目标是自动化寻找能帮助你绕过目标网站CSP的JSONP端点。通过识别和利用JSONP回调，JSONBee可以生成XSS有效载荷，帮助你在遵循CSP规则的前提下执行JavaScript。

项目技术分析

JSONBee采用三种方法收集JSONP端点：

1. 项目内的预存库；
2. Google Dorks（高级搜索技巧）；
3. 网络档案馆（archive.org）的数据。

目前，虽然工具仍在完善中，但已包括了一些可以直接使用的针对Facebook.com、Google.com等网站的CSP绕过payload。

应用场景

对于bug赏金猎人、渗透测试员和安全研究人员来说，JSONBee是非常有价值的工具。例如，你可以使用它来测试一个网站是否允许来自特定域的脚本执行。例如，Facebook.com在其CSP策略中信任*.google.com，因此，你可以使用特定的payload（如示例所示）在Facebook.com上执行JavaScript。

项目特点

• 自动化发现: 自动发现并建议能够绕过CSP的JSONP端点。
• 广泛适用: 支持对多种知名网站进行CSP测试。
• 社区贡献: 用户可以提交更多使用JSONP的网站链接以丰富资源库。
• 即插即用: 提供了针对特定网站的预设payload，简化了测试流程。

如果你在你的工作中遇到需要检测或绕过CSP的情况，那么JSONBee是你不容错过的工具。欢迎参与进来，一起让这个项目变得更大、更强大，更好地服务于信息安全社区。

JSONBeeA ready to use JSONP endpoints/payloads to help bypass content security policy (CSP) of different websites.项目地址:https://gitcode.com/gh_mirrors/js/JSONBee