Показать сообщение отдельно
Старый 31.05.2019, 10:46   #1
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 153
Репутация: 25
По умолчанию Странное поведение XSS

Здравствуйте. Столкнулся со следующей странностью при проведении XSS.
Пейлод, в виде тега с подключением стороннего скрипта, успешно попадает в админку.
Если из этого скрипта пытаюсь дёргать куки - пустота. Тут понятно, httpOnly. Я его вижу в запросах при первом посещении.
Если из скрипта дёргаю аяксом или ифреймом другие ссылки админки, то вместо них получаю контент формы авторизации. Будто человек, в чьём браузере сработка, не авторизован. При этом человек ходит по этим ссылкам спокойно (пейлод лежит на нескольких страницах, перемещения видны по сработкам), хтмл успешно получается из текущего <html>.
Что это может быть? Никаких необычных заголовков, по крайней мере на форме авторизации, не отдаётся. Может какой секурный плагин для браузера?
Белый Тигр вне форума   Ответить с цитированием