Nuevos labs cada semana — Accede a todos desde 5€/mes
Ver labs →client side
Vulnerabilidades client-side: DOM manipulation, postMessage, prototype pollution.
Respuesta rápida
¿Qué es client side?
Vulnerabilidades client-side: DOM manipulation, postMessage, prototype pollution.
Artículos
6
Básico
1
Intermedio
1
Avanzado
4
Nivel básico
1Nivel intermedio
1Nivel avanzado
4Client-side admin bypass — boolean manipulation + BAC en SPA moderna
Report real Quora: SPA con isAdmin boolean en localStorage que controla UI + backend que no valida server-side. Cómo encadenar boolean flip con BAC para admin takeover.
DOM XSS — gadgets, postMessage handlers y CVE-2025-59840
DOM XSS no es solo innerHTML. Sources/sinks, gadget chains via toString(), postMessage handlers sin origin check, hash-based routing rotos.
DOM XSS — sources, sinks y gadgets para encadenar bypass de filtros
Mapa completo de sources (location, postMessage, document.referrer, localStorage) y sinks (innerHTML, eval, document.write, jQuery $.html) + gadgets para construir payloads no detectables.
Prototype Pollution — del JSON malicioso a XSS, RCE y bypass de auth
Cómo el atacante contamina Object.prototype y rompe las assumptions del código. Vectores client-side y server-side, gadgets en lodash/jQuery/Angular.
Practica client side con labs reales
Aplica las técnicas en entornos seguros basados en reportes reales de bug bounty.