Prev Предыдущее сообщение   Следующее сообщение Next
Старый 31.05.2019, 10:46   #1
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 153
Репутация: 25
По умолчанию Странное поведение XSS

Здравствуйте. Столкнулся со следующей странностью при проведении XSS.
Пейлод, в виде тега с подключением стороннего скрипта, успешно попадает в админку.
Если из этого скрипта пытаюсь дёргать куки - пустота. Тут понятно, httpOnly. Я его вижу в запросах при первом посещении.
Если из скрипта дёргаю аяксом или ифреймом другие ссылки админки, то вместо них получаю контент формы авторизации. Будто человек, в чьём браузере сработка, не авторизован. При этом человек ходит по этим ссылкам спокойно (пейлод лежит на нескольких страницах, перемещения видны по сработкам), хтмл успешно получается из текущего <html>.
Что это может быть? Никаких необычных заголовков, по крайней мере на форме авторизации, не отдаётся. Может какой секурный плагин для браузера?
Белый Тигр вне форума   Ответить с цитированием
 

Метки
xss

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot