Оригинальная статья
Переведено специяльно для xss.pro
Камнями кидать в Jolah Milovski
При тестировании XSS мы обнаружили несколько новых способов создания веб-сайта, которые не используют элемент iframe. Естественно, мы обновили нашу шпаргалку XSS, чтобы задокументировать их. Мы обнаружили, что Chrome позволяет использовать теги param для изменения URL-адреса тега объекта так же, как iframe:
Кроме того, Chrome и webkit позволяют использовать атрибут «код» в теге внедрения для ссылки на внешний URL-адрес:
Мы пытались использовать эти функции для XSS, но, к сожалению, URL-адреса JavaScript не работают, и хотя URL-адреса с данными: протокол работают, все они выполняются из нулевого источника, что делает их бесполезными для XSS. Тем не менее, новые способы фрейминга всегда полезны для объединения других атак или, возможно, даже для обхода CSP .
В нам сообщили, что Firefox теперь демонстрирует то же поведение, что и Chrome, когда дело доходит до атрибутов tabindex. Это заставляет такие события, как onfocus , автоматически срабатывать в Firefox, хотя раньше они этого не делали. Ура расширению поверхности атаки! Шпаргалка теперь обновлена, чтобы отразить это изменение.
Переведено специяльно для xss.pro
Камнями кидать в Jolah Milovski
При тестировании XSS мы обнаружили несколько новых способов создания веб-сайта, которые не используют элемент iframe. Естественно, мы обновили нашу шпаргалку XSS, чтобы задокументировать их. Мы обнаружили, что Chrome позволяет использовать теги param для изменения URL-адреса тега объекта так же, как iframe:
Код:
<object width=1000 height=1000 type=text/html><param name=url value="https://portswigger-labs.net">
<object width=1000 height=1000 type=text/html><param name=code value="https://portswigger-labs.net">
<object width=1000 height=1000 type=text/html><param name=movie value="https://portswigger-labs.net">
<object width=1000 height=1000 type=text/html><param name=src value="https://portswigger-labs.net">Кроме того, Chrome и webkit позволяют использовать атрибут «код» в теге внедрения для ссылки на внешний URL-адрес:
Код:
<embed code=https://portswigger-labs.net width=500 height=500 type=text/html>Мы пытались использовать эти функции для XSS, но, к сожалению, URL-адреса JavaScript не работают, и хотя URL-адреса с данными: протокол работают, все они выполняются из нулевого источника, что делает их бесполезными для XSS. Тем не менее, новые способы фрейминга всегда полезны для объединения других атак или, возможно, даже для обхода CSP .
Firefox и tabindex
В нам сообщили, что Firefox теперь демонстрирует то же поведение, что и Chrome, когда дело доходит до атрибутов tabindex. Это заставляет такие события, как onfocus , автоматически срабатывать в Firefox, хотя раньше они этого не делали. Ура расширению поверхности атаки! Шпаргалка теперь обновлена, чтобы отразить это изменение.