Nuevos labs cada semana — Accede a todos desde 5€/mes

>Inicio>Labs>Eventos>Creators>Ranking>Academy>Writeups>Precios
Iniciar SesiónCrear Cuenta
Inicio·Academia·Temas·postmessage
Tema · 3 artículos

postmessage

postMessage handlers sin validar origin: zero-click cross-origin attacks via iframe.

Respuesta rápida

¿Qué es postmessage?

postMessage handlers sin validar origin: zero-click cross-origin attacks via iframe.

Artículos

3

Básico

0

Intermedio

1

Avanzado

2

Nivel intermedio

1
Con cuenta

postMessage — vulnerabilidades comunes: origin bypass, XSS sink, IDOR cross-window

Cómo identificar y explotar vulnerabilidades en window.postMessage(): listeners sin validación de origin, payloads JSON inseguros que llegan a DOM XSS, IDOR cross-origin.

13 minpostmessagexssclient-side
Leer artículo

Nivel avanzado

2
Gratis

DOM XSS — gadgets, postMessage handlers y CVE-2025-59840

DOM XSS no es solo innerHTML. Sources/sinks, gadget chains via toString(), postMessage handlers sin origin check, hash-based routing rotos.

13 mindom-xssxsspostmessage
Leer artículo
Con cuenta

Zero-Click postMessage Origin Bypass — del canvas al credit drain

El listener de postMessage solo validaba un campo de e.data — controlado por el atacante. e.origin nunca se chequeaba. Desde un iframe cargado al abrir un bot, mensajes inyectados como si los hubiera escrito la víctima.

14 minpostmessageiframeorigin-validation
Leer artículo

Practica postmessage con labs reales

Aplica las técnicas en entornos seguros basados en reportes reales de bug bounty.

Ver labs de postmessage
Todos los temasAcademy