Здравствуйте, есть сайт с активной XSS. Как можно использовать ее ? Куки не получить из-за HTTP Only . Думал рекламу разместить, страничка более-менее посещаема, но это быстро заметят. Сайт это маленькая соц сеть ,через годик загнется.

bazaWT said:
↑ (https://antichat.live/posts/3966856/)
Здравствуйте, есть сайт с активной XSS. Как можно использовать ее ?


-выполнение любых действий на сайте от имени пользователя, с помощью написания яваскрипта выполняющего нужное действие

-подмена страницы на фейк, к примеру с надписью для доступа к этой странице авторизируйтесь повторно, логин пароль может подойти не только к этому сайту, но и к почте, вк и другим сайтам

Хочу разместит рекламу на сайте, что бы раз в сутки когда пользователь будет на странице с xss его направляло на рекламный сайт. Есть скрипт создающий куку, и который редиректит на нужный сайт. Я скрипт закинул на хостинг . В xss вставляю такой код


HTML:
img= new Image();
img.src="http://сайт_с _скриптом /11.php?"

Но он не срабатывает . Кука создается , но не срабатаывает редирект header("Location: http://google.com/"); . Вопрос вообще может скрипт с другого сайта редиректить сайт с xss ?

ифрейм подгрузи с эксплойтом

bazaWT said:
↑ (https://antichat.live/posts/3967234/)
Вопрос вообще может скрипт с другого сайта редиректить сайт с xss ?


скрипт может, напиши хреф.локейшн например


bazaWT said:
↑ (https://antichat.live/posts/3967234/)
Но он не срабатывает . Кука создается , но не срабатаывает редирект header("Location:
http://google.com/
"); .


ты картинкой пытаешься редиректить, если бы браузеры так работали, то к примеру на этом форуме и множестве других форумов и сайтов можно было бы картинки вставлять со своего сайта и редиректить, они здесь не грузятся на домен форума, а открываются из того линка, который ты указал, кстати в опере раньше можно было так делать, но это признали уязвимостью браузера и пофиксили