Старый 31.05.2019, 10:46   #1
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 148
Репутация: 25
По умолчанию Странное поведение XSS

Здравствуйте. Столкнулся со следующей странностью при проведении XSS.
Пейлод, в виде тега с подключением стороннего скрипта, успешно попадает в админку.
Если из этого скрипта пытаюсь дёргать куки - пустота. Тут понятно, httpOnly. Я его вижу в запросах при первом посещении.
Если из скрипта дёргаю аяксом или ифреймом другие ссылки админки, то вместо них получаю контент формы авторизации. Будто человек, в чьём браузере сработка, не авторизован. При этом человек ходит по этим ссылкам спокойно (пейлод лежит на нескольких страницах, перемещения видны по сработкам), хтмл успешно получается из текущего <html>.
Что это может быть? Никаких необычных заголовков, по крайней мере на форме авторизации, не отдаётся. Может какой секурный плагин для браузера?
Белый Тигр вне форума   Ответить с цитированием
Старый 03.06.2019, 18:05   #2
Beched
 
Регистрация: 06.07.2010
Сообщений: 396
Репутация: 118
По умолчанию

А withCredentials проставил?
Beched вне форума   Ответить с цитированием
Старый 05.06.2019, 06:50   #3
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 148
Репутация: 25
По умолчанию

Цитата:
Сообщение от Beched Посмотреть сообщение
А withCredentials проставил?
Да, на результат это не повлияло.
Белый Тигр вне форума   Ответить с цитированием
Старый 05.06.2019, 14:55   #4
S00pY
 
Аватар для S00pY
 
Регистрация: 05.07.2010
Сообщений: 39
Репутация: 35
По умолчанию

А приложение это SPA ?

Возможно, есть смысл посмотреть клиент сайд апликухи, как там делаются запросы, мб там при подготовке запроса сетится какой-то header для авторизации?
Мб еще посмотреть что лежит в localstorage и sessionstorage.
S00pY вне форума   Ответить с цитированием
Старый 06.06.2019, 16:52   #5
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 148
Репутация: 25
По умолчанию

Цитата:
Сообщение от S00pY Посмотреть сообщение
А приложение это SPA ?

Возможно, есть смысл посмотреть клиент сайд апликухи, как там делаются запросы, мб там при подготовке запроса сетится какой-то header для авторизации?
Мб еще посмотреть что лежит в localstorage и sessionstorage.
Приложение не SPA, обращается к обычным пхп скриптам по полному урлу. Сторейджы пусты. На руках есть весь внутренний JS, но там простой jQuery. Есть не много аякса, и этот копипащенный код нормально работает. Проблема почему-то именно при открытии прямых не аяксовых урлов.

Забыл упомянуть про одну особенность - если обращаться ифреймом и аяксом к урлу который сейчас открыт в браузере, то всё отлично. Мне уже начинает казаться что там на каждом урле отдельная авторизация (например уникальный ключ в сессии). Просто форма одна и та же.

Последний раз редактировалось Белый Тигр; 06.06.2019 в 16:57..
Белый Тигр вне форума   Ответить с цитированием
Ответ

Метки
xss

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot