Firefox ブラウザーアドオン
  • 拡張機能
  • テーマ
    • Firefox 向け
    • スペルチェック辞書と言語パック
    • 他のブラウザーサイト
    • Android 向けアドオン
ログイン
JSONPeek のプレビュー

JSONPeek 作成者: Hacks and Hops

Passively identify JSONP endpoints as you browse with the ability to send suspected endpoints to an exploit server for validation.

0 (0 reviews)0 (0 reviews)
22 Users22 Users
この拡張機能を使用するには Firefox が必要です
Firefox をダウンロードして拡張機能を入手する
ファイルをダウンロード

拡張機能メタデータ

スクリーンショット
The JSONPeek popupThe exploit server testing a provided URLAn alert box firing which indicates the endpoint is in fact JSONP
この拡張機能について
Code
This addon is free and open-source software (FOSS) all code can be found here: https://github.com/ACK-J/JSONPeek/
Please report your bugs or feature requests in a GitHub issue instead of in a review.

Test if it works!
https://www.w3schools.com/js/tryit.asp?filename=tryjson_jsonp_callback

This addon passively listens for network requests which include GET parameters commonly used by JSONP endpoints. The extension popup will show you any of these detected requests. Clicking on a request in the popup will open the JSONP endpoint in a new tab for you to play around with. Additionally, there is an "exploit" button that sends the suspected JSONP url to my webserver to check if it is exploitable. The source code for the webserver can be found HERE. Multiple proof of concepts are attempted with check marks indicating success and an X indicating failure.

Why do I want to find JSONP endpoints?
The most common way to bypass a content security policy (CSP) is by finding a JSONP endpoint on a trusted domain within the CSP. JSONP takes advantage of the fact that the same-origin policy does not prevent execution of external <script> tags. Usually, a <script src="some/js/file.js"> tag represents a static script file. But you can just as well create a dynamic API endpoint, say /userdata, and have it accept a query parameter (such as ?callback=CALLBACK) which dynamically specifies a JavaScript function.

When would I need a CSP Bypass?
A Content Security Policy (CSP) bypass may be necessary in specific scenarios, typically related to web security testing or development. CSP is a security feature that helps prevent a range of attacks like Cross-Site Scripting (XSS), data injection attacks, and clickjacking by controlling which resources the browser is allowed to load and execute.

Donations
  • Monero Address: 89jYJvX3CaFNv1T6mhg69wK5dMQJSF3aG2AYRNU1ZSo6WbccGtJN7TNMAf39vrmKNR6zXUKxJVABggR4a8cZDGST11Q4yS8
Rated 0 by 0 reviewers
ログインしてこの拡張機能を評価
まだ評価されていません

星の評価を保存しました

5
0
4
0
3
0
2
0
1
0
まだレビューはありません
Permissions and data詳細情報

必要な権限:

  • ブラウザーのタブへのアクセス
  • すべてのウェブサイトの保存されたデータへのアクセス
詳しい情報
アドオンリンク
  • サポートサイト
バージョン
1.3
サイズ
78.46 KB
最終更新日
1ヶ月前 (2025年7月28日)
関連カテゴリー
  • ウェブ開発
  • プライバシー/セキュリティ
ライセンス
GNU General Public License v3.0 only
バージョン履歴
  • すべてのバージョンを見る
コレクションへ追加
このアドオンを報告
1.3 のリリースノート
  • removed reliance on jsonpeek.com
Hacks and Hops が公開している他の拡張機能
  • まだ評価されていません

  • まだ評価されていません

  • まだ評価されていません

  • まだ評価されていません

  • まだ評価されていません

  • まだ評価されていません

Mozilla のホームページへ

アドオン

  • このサイトについて
  • Firefox アドオンブログ
  • 拡張機能ワークショップ
  • 開発者センター
  • 開発者ポリシー
  • コミュニティブログ
  • フォーラム
  • バグを報告
  • レビューガイド

ブラウザー

  • Desktop
  • Mobile
  • Enterprise

製品情報

  • Browsers
  • VPN
  • Relay
  • Monitor
  • Pocket
  • Bluesky (@firefox.com)
  • Instagram (Firefox)
  • YouTube (firefoxchannel)
  • プライバシー
  • Cookie
  • 法的情報

特に 明記されている 場合を除き、当サイト上のコンテンツは Creative Commons 表示・継承ライセンス v3.0 あるいはそれ以降のバージョンで公開されています。