Estoy buscando una caracterización formal de un ataque que explote la función de anulación del método prototípico en los programas de Javascript. Por ejemplo, si un atacante anula con éxito el método Object.prototype.toString
, él / ella podría obtener acceso a los objetos y datos que podrían considerarse "ocultos" en los cierres, siempre que esos valores "ocultos" tengan sus métodos toString()
invocados.
Creé un ejemplo más detallado en el que un script atacante filtra información confidencial propagada en la API de Javascript Crypto
. "> aquí en acción.
¿Esta técnica / enfoque es una forma de ataque XSS? Si es así, ¿hay un nombre establecido para ello?