Web - Client

Bonjour,

J’ai réussi à exploiter la faille XSS, m’afficher des alertes et renvoyer mon cookie sur un autre site. Mais impossible de le faire sans une action de l’utilisateur (clique sur un lien) donc pas de cookie administrateur.
Possible d’avoir un indice sur comment exécuter la XSS au chargement de la page ? (actuellement je sais pas trop où chercher)

Merci

Des XSS il n’y en a pas 15 000. Trouve un site avec des listes de XSS et test TOUT. Et ne t’arretes pas en disant ’’oué mais ça c’est sur le bot il gère pas’’. Tu risques d’être déçue 😉

Tu es sur le bon chemin.
L’admin ne cliquera en effet pas sur ton lien. Cela n’empêche pas que, pour valider le challenge, le lien peut fonctionner.

Salut !
Quelqu’un pourrait me donner un petit indice ?
J’arrive a récupérer mon cookie sans cliquer sur le lien de plusieurs façons différentes mais je ne reçois rien lorsque je report a l’admin...
merci

La réponse est ici : https://www.w3schools.com/tags/ref_eventattributes.asp

je suis aussi coincé !
J’arrive a re-dirigé l’admin sur mon site, mais son cookie est vide... Un indice ? :’-(
une sécurité h******y ?

J’ai le même problème, j’arrive à le rediriger, j’arrive à récupérer mon cookie, mais pas celui de l’admin. Je n’arrive pas à comprendre comment c’est possible.

J’ai le même problème que vous, la redirection fonctionne, mais il semble que l’événement de survol ne soit pas déclenché par le bot...

Salut, de mon côté le mouseover est triggered par le bot et ça active bien mon lien mais sur mon serveur je reçois un cookie vide... Quand je le trigger moi même j’ai bien mes cookies mais quand c’est le bot, c’est vide !