Web - Client

samedi 11 janvier 2020, 14:14  #1
Web - Client XSS volatile
RandomGuy
  • 11 posts

Bonjour,

Cela fait 3 jours que je bloque sur ce challenge  😢 . Je pense être arrivé là où se trouve la faille XSS, mais je n’arrive pas à en lancer une seule... Je me suis dit que google chrome bloquait peut-être certaines failles. Mais même en désactivant les protections rien ne se passe. Et je ne trouve pas d’autre endroit pour réaliser une reflected XSS sur le site. Du coup j’ai besoin d’un coup de main pour savoir si je suis vraiment sur la bonne voie !

Actuellement j’arrive vers une page pas trouvable sans erreur (j’évite d’être trop précis et de spoil), mais j’ai l’impression que le href ne peut pas lancer de faille XSS... . Du coup avec les indices que je viens de donner, pensez vous que j’ai trouvé la bonne page ? Et si oui est-ce normal qu’aucun code ne se lance ? Pourtant j’essaye des même des HTML Event.

Merci de votre aide  😇

samedi 11 janvier 2020, 22:55  #2
Web - Client XSS volatile
Th1b4ud
  • 768 posts

C’est le bon point d’entrée continue

dimanche 12 janvier 2020, 13:04  #3
Web - Client XSS volatile
RandomGuy
  • 11 posts

Très bien merci je vais continuer à chercher pourquoi ça ne marche pas :)

mardi 14 janvier 2020, 16:50  #4
Web - Client XSS volatile
RandomGuy
  • 11 posts

Bonjour,

Après quelques jours de petites recherches, j’arrive finalement à avoir une faille XSS basique qui fonctionne :). Il me faut juste pouvoir demander les cookies car pour le moment c’est interprété comme un string ou alors non prit en compte dans l’url xD. Et il faudra aussi surement déguiser l’url je présume xD

lundi 27 janvier 2020, 18:34  #5
Web - Client XSS volatile
ElTouco72
  • 8 posts

Hello,

J’ai trouvé une XSS, le robot va bien sur la page que je transmets je recupére tout, son user agent son Ip, mais pas le cookie que je recupère avec document.cookie
comment est ce possible ? quand moi j’essaye je recupere bien les cookies que j’ai mis sur le domaine du challenge

un peu d’aide siouplait, je seche la