XSS Уязвимость, и httpOnly

[Resurgentis]

У меня есть возможность встроить в сайт любой JS. Естественно я хотел использовать это для похищения cookie's, но к своему разочарованию обнаружил, что у cookie который мне нужен стоит флаг httpOnly. Есть ли актуальные методы борьбы с httpOnly, и если есть, то какие?

 

[corpserves]

GitHub - Danladi/HttpPwnly: "Repeater" style XSS post-exploitation tool for mass browser control. Primarily a PoC to show why HttpOnly flag isn't a complete protection against session hijacking via XSS

"Repeater" style XSS post-exploitation tool for mass browser control. Primarily a PoC to show why HttpOnly flag isn't a complete protection against session hijacking via XSS - Danladi...

github.com

 

[Resurgentis]

GitHub - Danladi/HttpPwnly: "Repeater" style XSS post-exploitation tool for mass browser control. Primarily a PoC to show why HttpOnly flag isn't a complete protection against session hijacking via XSS

"Repeater" style XSS post-exploitation tool for mass browser control. Primarily a PoC to show why HttpOnly flag isn't a complete protection against session hijacking via XSS - Danladi...

github.com

Инструмент отличный, но есть небольшой вопрос... Как решить эту проблему? Сервер установлен, и отвечает правильно, зависимости тоже все установлены. Как исправить ошибку "Uncaught ReferenceError: io is not defined" в данном случае? Подскажите пожалуйста.