В нем же нет пути

тоже верно

а агрегировалась ли где-то статистика по TOP-50(100) популярных онлайн! сервисов в компаниях? вот у @i_bo0om например есть хороший вордлист
https://github.com/Bo0oM/services-names-wordlist/blob/master/list.txt
но он больше о возможности юзать как поддомены. а я хочу смотреть с точки зрения “возможности” определить наличие сервиса в клауде для той или иной компании.

Я правильно понимаю, что если есть xss в child iframe, parent iframe не уязвимим? Читаю интернет и везде вижу только про фишинг через child iframe. Пытался сделать <svg/onload(parent.document.cookie)> мне выдало
Uncaught DOMException: Permission denied to access property "document" on cross-origin object
Сам iframe выглядит как

<iframe class=class src=https://vulnerable.com allow="camera; microphone" referrerpolicy="origin-when-cross-origin">

Также parent site имеет
X-Frame-Options: DENY
Но это никакого отношения похоже не имеет)

взаимодействие с с парент фреймом зависит же от ориджинов обоих фреймов

Ну это два разных домена и ориджины их разные 🤔

значит ничего ты не сделаешь

Ясно..

Можно post message посылать, мб он в доверенных

Интересно, даже не думал об этом, спасибо

если селфклоузнуть затриаженый репорт, 7 репы сохранится?

Нет, её заберут

Спасибо!

почему могут быть скули в хедерах, например x-forwarded-for - там на беке может быть аналитическая система которая берет импут без фильтрации и поэтому скуля возможна
можете назвать причины скулей в хедерах?

потому что принимаются пользовательские данные

а что там может быть на беке, что он берет инфу с хедеров

просто для аналитики или для других целей

ну для разных целей в зависимости от проекта

А у кого-нить есть учетка на alibaba cloud с подтвержденным именем, чтобы создать oss bucket в китайском регионе?