Просмотр полной версии : XSS в скрытом параметре
sergei_petrovish
17.03.2017, 10:36
Привет, нашел в параметре формы XSS
скопировал форму и сделал автоотправку
HTML:
document.getElementsByTagName('form')[0].submit();
Разместил на своем сайте в iframe , отправка происходит но куки не сайта с багом, а моего сайта где лежит файл с формой. Что я не так сделал ?
Привет. Ты xss с CSRF не путай. Смотри что происходит. iframe не смотря на то, что делает запрос к серверу, возвращает в итоге все равно верстку. Это так работает. Когда ты разместил у себя и какой нить чувак прошёл от него летит запрос к серверу, но клиентская сторона выполняется у тебя поэтому и берет твои куки. то есть когда в хсску пишешь document.location.href= 'Уязвимый сайт' + document.cookie - у тебя куки уже подставляются. Как вариант заверни в eval и передавай строку. А вообще покажи что ты пишешь в XSS? А ещё в идеале таргет в лс и напишу рабочий вариант.
sergei_petrovish
20.03.2017, 18:13
SooLFaa said:
↑ (https://antichat.live/posts/4062350/)
Привет. Ты xss с CSRF не путай. Смотри что происходит. iframe не смотря на то, что делает запрос к серверу, возвращает в итоге все равно верстку. Это так работает. Когда ты разместил у себя и какой нить чувак прошёл от него летит запрос к серверу, но клиентская сторона выполняется у тебя поэтому и берет твои куки. то есть когда в хсску пишешь document.location.href= 'Уязвимый сайт' + document.cookie - у тебя куки уже подставляются. Как вариант заверни в eval и передавай строку. А вообще покажи что ты пишешь в XSS? А ещё в идеале таргет в лс и напишу рабочий вариант.
Спасибо что отозвались,таргет в личку отправил.
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot