Web - Client
Web - Client- CSRF 0 Protection
Salut
j’écris pour savoir si après avoir envoyé le lien vers le site attaquant (qui a le script CSRF) je dois attendre une réponse par mail ou je dois aller checker de temps en temps si l’admin a vue le site, je ne suis pas sûr a 100 % sur mon script mais je pense que ça devrait marcher.
Web - Client- CSRF 0 Protection
D’après mon expérience du root-me :
– les challenges ne permettent jamais l’envoi de mail
– les challenges où l’on doit faire exécuter quelque chose à un admin sont réalisés par un bot. si on n’a pas une réponse dans les deux minutes c’est que l’attaque n’a pas fonctionné.
– l’idéal est de trouver un moyen d’exécuter ton attaque en local ou sur ton navigateur pour trouver ce qui cloche.
Web - Client- CSRF 0 Protection
Salut, je sais pas si c’est considéré comme du spoil, mais vu que c’est totalement contre intuitif et que ça n’a rien à voir avec l’exploitation d’un csrf je vais quand même le dire, le formulaire de contact est vulnérable aux injections html
Web - Client- CSRF 0 Protection
merci de vos réponses mais j’ai essayer d’envoi le lien vers mon site contenant le script, via, juste l’URL, via du BBcode [img} (on ne sais jamais) , dans une balise <a>
mais ducoup je vais essayer avec une injection HTML
Web - Client- CSRF 0 Protection
Je suis encore blocker je viens de tester mon script et il marche a 100 % (je ne suis pas admin)
mais quand j’envoie le links au bot il l’ignore, je dois lui envoyer sous quel forme
j’ai essayé tout ce que j’ai trouvé mais il n’y prête pas attention
Web - Client- CSRF 0 Protection
Oui j’ai essayé les injection de script js avec
<script>document.location=URL</script>
et aussi via des img mais appart si je m’y prend mal ça n’as rien donné
Web - Client- CSRF 0 Protection
C’est bon j’ai réussi et il ne fallait pas passer par un site extérieur 😊