• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

XSS в a href, но target=_blank блокирует исполнение

  • Автор темы Автор темы Revoltage
  • Дата начала Дата начала

Revoltage

Grey Team
07.10.2020
42
96
Нашел уязвимое место в создании гиперссылок в href, также стоит target=_blank, ввожу пейлоад получаю следующее:

<a href="javascript:alert(1)" target="_blank">Click me</a>
Но браузер при нажатии открывает новый таб с about:blank#blocked без выполнения кода, я пробовал повторить на локалке и везде, но никак не могу заставить работать JS код. Может знает кто, как решить проблему?
 
Решение
Разве у браузеров не централизованные стандарты? В FireFox такое отлично исполняется, странное
Да, стандарты централизованные, но разрабы могут не соблюдать этого, использовать свои методы или иметь свои собственные правила
Проблема возникает из-за того, что браузер блокирует выполнение JavaScript кода в новом окне. Чтобы исправить это, нужно добавить атрибут rel="noopener" к тегу <a>:

Код:
<a href="javascript:alert(1)" target="_blank" rel="noopener">Click me</a>
 
Проблема возникает из-за того, что браузер блокирует выполнение JavaScript кода в новом окне. Чтобы исправить это, нужно добавить атрибут rel="noopener" к тегу <a>:

Код:
<a href="javascript:alert(1)" target="_blank" rel="noopener">Click me</a>
Разве у браузеров не централизованные стандарты? В FireFox такое отлично исполняется, странное
 
Разве у браузеров не централизованные стандарты? В FireFox такое отлично исполняется, странное
Да, стандарты централизованные, но разрабы могут не соблюдать этого, использовать свои методы или иметь свои собственные правила
 
Решение
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab