HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу XSS в скрытом параметре
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 17.03.2017, 10:36
sergei_petrovish
Познающий
Регистрация: 24.01.2016
Сообщений: 31
Провел на форуме:
11346

Репутация: 1
По умолчанию
Привет, нашел в параметре формы XSS



скопировал форму и сделал автоотправку

Код HTML:
  
  
document.getElementsByTagName('form')[0].submit();
Разместил на своем сайте в iframe , отправка происходит но куки не сайта с багом, а моего сайта где лежит файл с формой. Что я не так сделал ?
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 18.03.2017, 16:24
SooLFaa
Постоянный
Регистрация: 17.03.2014
Сообщений: 530
Провел на форуме:
187765

Репутация: 154


По умолчанию
Привет. Ты xss с CSRF не путай. Смотри что происходит. iframe не смотря на то, что делает запрос к серверу, возвращает в итоге все равно верстку. Это так работает. Когда ты разместил у себя и какой нить чувак прошёл от него летит запрос к серверу, но клиентская сторона выполняется у тебя поэтому и берет твои куки. то есть когда в хсску пишешь document.location.href= 'Уязвимый сайт' + document.cookie - у тебя куки уже подставляются. Как вариант заверни в eval и передавай строку. А вообще покажи что ты пишешь в XSS? А ещё в идеале таргет в лс и напишу рабочий вариант.
 
Ответить с цитированием

  #3  
Старый 20.03.2017, 18:13
sergei_petrovish
Познающий
Регистрация: 24.01.2016
Сообщений: 31
Провел на форуме:
11346

Репутация: 1
По умолчанию
Цитата:
Сообщение от SooLFaa  

Привет. Ты xss с CSRF не путай. Смотри что происходит. iframe не смотря на то, что делает запрос к серверу, возвращает в итоге все равно верстку. Это так работает. Когда ты разместил у себя и какой нить чувак прошёл от него летит запрос к серверу, но клиентская сторона выполняется у тебя поэтому и берет твои куки. то есть когда в хсску пишешь document.location.href= 'Уязвимый сайт' + document.cookie - у тебя куки уже подставляются. Как вариант заверни в eval и передавай строку. А вообще покажи что ты пишешь в XSS? А ещё в идеале таргет в лс и напишу рабочий вариант.
Спасибо что отозвались,таргет в личку отправил.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.