RDot

RDot (https://rdot.org/forum/index.php)
-   Web-среда/Web-applications (https://rdot.org/forum/forumdisplay.php?f=9)
-   -   Странное поведение XSS (https://rdot.org/forum/showthread.php?t=4684)

Белый Тигр 31.05.2019 10:46

Странное поведение XSS
 
Здравствуйте. Столкнулся со следующей странностью при проведении XSS.
Пейлод, в виде тега с подключением стороннего скрипта, успешно попадает в админку.
Если из этого скрипта пытаюсь дёргать куки - пустота. Тут понятно, httpOnly. Я его вижу в запросах при первом посещении.
Если из скрипта дёргаю аяксом или ифреймом другие ссылки админки, то вместо них получаю контент формы авторизации. Будто человек, в чьём браузере сработка, не авторизован. При этом человек ходит по этим ссылкам спокойно (пейлод лежит на нескольких страницах, перемещения видны по сработкам), хтмл успешно получается из текущего <html>.
Что это может быть? Никаких необычных заголовков, по крайней мере на форме авторизации, не отдаётся. Может какой секурный плагин для браузера?

Beched 03.06.2019 18:05

А withCredentials проставил?

Белый Тигр 05.06.2019 06:50

Цитата:

Сообщение от Beched (Сообщение 44670)
А withCredentials проставил?

Да, на результат это не повлияло.

S00pY 05.06.2019 14:55

А приложение это SPA ?

Возможно, есть смысл посмотреть клиент сайд апликухи, как там делаются запросы, мб там при подготовке запроса сетится какой-то header для авторизации?
Мб еще посмотреть что лежит в localstorage и sessionstorage.

Белый Тигр 06.06.2019 16:52

Цитата:

Сообщение от S00pY (Сообщение 44680)
А приложение это SPA ?

Возможно, есть смысл посмотреть клиент сайд апликухи, как там делаются запросы, мб там при подготовке запроса сетится какой-то header для авторизации?
Мб еще посмотреть что лежит в localstorage и sessionstorage.

Приложение не SPA, обращается к обычным пхп скриптам по полному урлу. Сторейджы пусты. На руках есть весь внутренний JS, но там простой jQuery. Есть не много аякса, и этот копипащенный код нормально работает. Проблема почему-то именно при открытии прямых не аяксовых урлов.

Забыл упомянуть про одну особенность - если обращаться ифреймом и аяксом к урлу который сейчас открыт в браузере, то всё отлично. Мне уже начинает казаться что там на каждом урле отдельная авторизация (например уникальный ключ в сессии). Просто форма одна и та же.


Часовой пояс GMT +3, время: 21:42.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot