Чаты Web.skype.com - target="_blank" / window.opener

Discussion in 'Уязвимости' started by pw0ned, 8 Sep 2016.

  1. pw0ned

    pw0ned Member

    Joined:
    8 Jan 2016
    Messages:
    118
    Likes Received:
    48
    Reputations:
    14
    Элементарно но все же.. Использовать можно, к примеру заманить жертву на свой фейк.

    Страница на которую ссылаемся с запросом target="_blank" получает доступ к странице источнику через window.opener.

    [​IMG]
    Code:
    window.opener.location="skype.txt";
     
    #1 pw0ned, 8 Sep 2016
    Last edited: 8 Sep 2016
    pas9x likes this.
  2. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    На самом деле с помощью этой дыры можно сделать намного больше, чем заманить на фейк)
     
    #2 pas9x, 9 Sep 2016
  3. pw0ned

    pw0ned Member

    Joined:
    8 Jan 2016
    Messages:
    118
    Likes Received:
    48
    Reputations:
    14
    Ну я написал как примeр )
     
    #3 pw0ned, 9 Sep 2016
  4. androd

    androd Banned

    Joined:
    16 Sep 2016
    Messages:
    19
    Likes Received:
    1
    Reputations:
    2
    Шелл залить выйдет?
     
    #4 androd, 20 Sep 2016
  5. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    можно запостить тред с описанием и этого хватит.
    P. S. почти на всех багбаунти это уже давно входит в исключение (и очень давно)
     
    _________________________
    #5 yarbabin, 20 Sep 2016
    pw0ned likes this.
  6. pw0ned

    pw0ned Member

    Joined:
    8 Jan 2016
    Messages:
    118
    Likes Received:
    48
    Reputations:
    14
    Ты о чём ??
     
    #6 pw0ned, 20 Sep 2016
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.