0x0 Web - Client

lundi 30 juillet 2018, 17:36  #1
Web - Client - XSS VOLATILE
Jey
Jey
  • 1 posts

Bonjour,

J’ai réussi à exploiter la faille XSS, m’afficher des alertes et renvoyer mon cookie sur un autre site. Mais impossible de le faire sans une action de l’utilisateur (clique sur un lien) donc pas de cookie administrateur.
Possible d’avoir un indice sur comment exécuter la XSS au chargement de la page ? (actuellement je sais pas trop où chercher)

Merci

lundi 30 juillet 2018, 21:10  #2
Web - Client - XSS VOLATILE
Th1b4ud
  • 238 posts

Des XSS il n’y en a pas 15 000. Trouve un site avec des listes de XSS et test TOUT. Et ne t’arretes pas en disant ’’oué mais ça c’est sur le bot il gère pas’’. Tu risques d’être déçue ;-)

lundi 20 août 2018, 11:07  #3
Web - Client - XSS VOLATILE
stan
  • 4 posts

Tu es sur le bon chemin.
L’admin ne cliquera en effet pas sur ton lien. Cela n’empêche pas que, pour valider le challenge, le lien peut fonctionner.

vendredi 9 novembre 2018, 08:42  #4
Web - Client - XSS VOLATILE
Neolex
  • 2 posts

Salut !
Quelqu’un pourrait me donner un petit indice ?
J’arrive a récupérer mon cookie sans cliquer sur le lien de plusieurs façons différentes mais je ne reçois rien lorsque je report a l’admin...
merci

lundi 12 novembre 2018, 14:09  #5
Web - Client - XSS VOLATILE
caimme_42
  • 1 posts

je suis aussi coincé !
J’arrive a re-dirigé l’admin sur mon site, mais son cookie est vide... Un indice ? :’-(
une sécurité h******y ?