Чаты Web.skype.com - target="_blank" / window.opener

Discussion in 'Уязвимости' started by pw0ned, 8 Sep 2016.

  1. pw0ned

    pw0ned Member

    Joined:
    8 Jan 2016
    Messages:
    118
    Likes Received:
    48
    Reputations:
    14
    Элементарно но все же.. Использовать можно, к примеру заманить жертву на свой фейк.

    Страница на которую ссылаемся с запросом target="_blank" получает доступ к странице источнику через window.opener.

    [​IMG]
    Code: 
    window.opener.location="skype.txt";
     
    #1 pw0ned, 8 Sep 2016
    Last edited: 8 Sep 2016
    pas9x likes this.
    1. pas9x

      pas9x Elder - Старейшина

      Joined:
      13 Oct 2012
      Messages:
      423
      Likes Received:
      583
      Reputations:
      52
      На самом деле с помощью этой дыры можно сделать намного больше, чем заманить на фейк)
       
      #2 pas9x, 9 Sep 2016
      1. pw0ned

        pw0ned Member

        Joined:
        8 Jan 2016
        Messages:
        118
        Likes Received:
        48
        Reputations:
        14
        Ну я написал как примeр )
         
        #3 pw0ned, 9 Sep 2016
        1. androd

          androd Banned

          Joined:
          16 Sep 2016
          Messages:
          19
          Likes Received:
          1
          Reputations:
          2
          Шелл залить выйдет?
           
          #4 androd, 20 Sep 2016
          1. yarbabin

            yarbabin HACKIN YO KUT

            Joined:
            21 Nov 2007
            Messages:
            1,663
            Likes Received:
            914
            Reputations:
            363
            можно запостить тред с описанием и этого хватит.
            P. S. почти на всех багбаунти это уже давно входит в исключение (и очень давно)
             
            _________________________
            #5 yarbabin, 20 Sep 2016
            pw0ned likes this.
            1. pw0ned

              pw0ned Member

              Joined:
              8 Jan 2016
              Messages:
              118
              Likes Received:
              48
              Reputations:
              14
              Ты о чём ??
               
              #6 pw0ned, 20 Sep 2016
              (You must log in or sign up to post here.)