SHADOW:Group
Переслано от канала
Многие оставляют недоработанными вектора атак с self-XSS или XSS, заблокированной CSP. Иногда стоит уделить достаточно внимания каждой такой находке и посмотреть на уязвимость с другой стороны
В этой статье мы рассмотрим различные методы и техники, которые расширяют границы XSS-атак: эксплуатацию XSS через service-worker, self-XSS в один клик и другие сочетания уязвимостей
https://telegra.ph/XSS-Advanced-Level-01-09
В этой статье мы рассмотрим различные методы и техники, которые расширяют границы XSS-атак: эксплуатацию XSS через service-worker, self-XSS в один клик и другие сочетания уязвимостей
https://telegra.ph/XSS-Advanced-Level-01-09
Telegraph
XSS Advanced Level
Я часто встречаю XSS, которые не дают возможности использовать что-то кроме вызова алерта, или какие-нибудь Self-XSS без возможности эксплуатации. Однако, если приложить достаточно усилий, то можно докрутить даже многие Self-XSS, используя их в комбинации с другими уязвимостями, которые на первый взгляд кажутся неэксплуатируемыми. В сегодняшней статье я постарался раскрыть два интересных вектора эксплуатации таких XSS: в первом случае мы сталкиваемся с HTML-инъекцией и Self-XSS, а во втором случае эксплуатируем…
🔥 11
🤔 3
👍 1
115 4.4K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram