![]() |
Странное поведение XSS
Здравствуйте. Столкнулся со следующей странностью при проведении XSS.
Пейлод, в виде тега с подключением стороннего скрипта, успешно попадает в админку. Если из этого скрипта пытаюсь дёргать куки - пустота. Тут понятно, httpOnly. Я его вижу в запросах при первом посещении. Если из скрипта дёргаю аяксом или ифреймом другие ссылки админки, то вместо них получаю контент формы авторизации. Будто человек, в чьём браузере сработка, не авторизован. При этом человек ходит по этим ссылкам спокойно (пейлод лежит на нескольких страницах, перемещения видны по сработкам), хтмл успешно получается из текущего <html>. Что это может быть? Никаких необычных заголовков, по крайней мере на форме авторизации, не отдаётся. Может какой секурный плагин для браузера? |
А withCredentials проставил?
|
Цитата:
|
А приложение это SPA ?
Возможно, есть смысл посмотреть клиент сайд апликухи, как там делаются запросы, мб там при подготовке запроса сетится какой-то header для авторизации? Мб еще посмотреть что лежит в localstorage и sessionstorage. |
Цитата:
Забыл упомянуть про одну особенность - если обращаться ифреймом и аяксом к урлу который сейчас открыт в браузере, то всё отлично. Мне уже начинает казаться что там на каждом урле отдельная авторизация (например уникальный ключ в сессии). Просто форма одна и та же. |
Часовой пояс GMT +3, время: 20:15. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot