Есть активная ХСС в пост запросе на контактной форме


Code:
URL encoded POST input address was set to 3137%20Laguna%20Street'"()&%iAJG(9983)

Как осуществить атаку?Про снифер и тд знаю.

в пост запросе- это пассивная, а если скрипт сохраняется на страничке, тогда это активная хсс

ссылку на снифер пишешь и ловишь куки

porosen0k said:
↑ (https://antichat.live/posts/4055904/)
в пост запросе- это пассивная, а если скрипт сохраняется на страничке, тогда это активная хсс
ссылку на снифер пишешь и ловишь куки


а как быть с пасивной?

brown said:
↑ (https://antichat.live/posts/4055960/)
а как быть с пасивной?


заинтересуй жертву нужной ссылкой, ткни носом так сказать.POC-ов много в инете

перехвати пост-запрос программой или плагином к браузеру, можно попробовать переделать его в GET

типа script.php?=... и подставь нужные параметры

Проверь сначала что сессия хранится без флага HTTP_ONLY иначе твой "сниффер" пустышка.