Привет Гуру Xss).
В общем есть проект на реакте, есть возможность вносить свой хтмл код.
фильтрация есть обратного слеша и двойной кавычки.
Вот что я ему скормил и что в итоге выдал сайтец мне
оригинал = 123123\\""""\\\"""""\\\\\""""123123'
стало = 123123\\\\\"\"\"\"\\\\\\\"\"\"\"\"\\\\\\\\\\\"\"\"\"123123'
На картинке:
в верхнем поле то что видно на странице (тупо текстом выводи код)
ниже как оно выглядит в коде. Инспектор, к слову тоже соображает что это не код...
И... вот незадача, он не работает....
2) что сегодня можно интересного сделать со сторед XSS? Угон куков понятно, но к слову опять же авторизация методом "Bearer", т.е. нужен заголовок, а не кука) Какие сниферы подходящие? Просьба ткнуть в интересные инструменты.
В общем есть проект на реакте, есть возможность вносить свой хтмл код.
фильтрация есть обратного слеша и двойной кавычки.
Вот что я ему скормил и что в итоге выдал сайтец мне
оригинал = 123123\\""""\\\"""""\\\\\""""123123'
стало = 123123\\\\\"\"\"\"\\\\\\\"\"\"\"\"\\\\\\\\\\\"\"\"\"123123'
На картинке:
в верхнем поле то что видно на странице (тупо текстом выводи код)
ниже как оно выглядит в коде. Инспектор, к слову тоже соображает что это не код...
И... вот незадача, он не работает....
2) что сегодня можно интересного сделать со сторед XSS? Угон куков понятно, но к слову опять же авторизация методом "Bearer", т.е. нужен заголовок, а не кука) Какие сниферы подходящие? Просьба ткнуть в интересные инструменты.
Последнее редактирование: