HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу XSS в скрытом параметре
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 17.03.2017, 10:36
sergei_petrovish
Guest
Сообщений: n/a
Провел на форуме:
11346

Репутация: 1
По умолчанию
Привет, нашел в параметре формы XSS



скопировал форму и сделал автоотправку

Код HTML:
HTML:

  
  
document.getElementsByTagName('form')[0].submit();
Разместил на своем сайте в iframe , отправка происходит но куки не сайта с багом, а моего сайта где лежит файл с формой. Что я не так сделал ?
 
Ответить с цитированием

  #2  
Старый 18.03.2017, 16:24
SooLFaa
Guest
Сообщений: n/a
Провел на форуме:
187765

Репутация: 154
По умолчанию
Привет. Ты xss с CSRF не путай. Смотри что происходит. iframe не смотря на то, что делает запрос к серверу, возвращает в итоге все равно верстку. Это так работает. Когда ты разместил у себя и какой нить чувак прошёл от него летит запрос к серверу, но клиентская сторона выполняется у тебя поэтому и берет твои куки. то есть когда в хсску пишешь document.location.href= 'Уязвимый сайт' + document.cookie - у тебя куки уже подставляются. Как вариант заверни в eval и передавай строку. А вообще покажи что ты пишешь в XSS? А ещё в идеале таргет в лс и напишу рабочий вариант.
 
Ответить с цитированием

  #3  
Старый 20.03.2017, 18:13
sergei_petrovish
Guest
Сообщений: n/a
Провел на форуме:
11346

Репутация: 1
По умолчанию
Цитата:
Сообщение от SooLFaa  
SooLFaa said:

Привет. Ты xss с CSRF не путай. Смотри что происходит. iframe не смотря на то, что делает запрос к серверу, возвращает в итоге все равно верстку. Это так работает. Когда ты разместил у себя и какой нить чувак прошёл от него летит запрос к серверу, но клиентская сторона выполняется у тебя поэтому и берет твои куки. то есть когда в хсску пишешь document.location.href= 'Уязвимый сайт' + document.cookie - у тебя куки уже подставляются. Как вариант заверни в eval и передавай строку. А вообще покажи что ты пишешь в XSS? А ещё в идеале таргет в лс и напишу рабочий вариант.
Спасибо что отозвались,таргет в личку отправил.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ