SOME - Same Origin Method Execution
समान मूल स्थान विधि निष्पादन
कभी-कभी ऐसे मौके होते हैं जहां आप पेज में कुछ सीमित जावास्क्रिप्ट को निष्पादित कर सकते हैं। उदाहरण के लिए, उस मामले में जहां आप कंट्रोल कर सकते हैं एक कॉलबैक मान जो निष्पादित किया जाएगा।
उन मामलों में, आपका कर सकने की सबसे अच्छी चीज है DOM तक पहुंचना और कुछ भी संवेदनशील कार्रवाई को कॉल करना जो आप वहां पा सकते हैं (जैसे कि एक बटन पर क्लिक करना)। हालांकि, आम तौर पर आपको इस दोषावस्था को छोटे अंतबिंदुओं में ही पाएंगे जिनमें DOM में कोई रोचक चीज नहीं होगी।
उन स्थितियों में, यह हमला बहुत उपयोगी होगा, क्योंकि इसका उद्देश्य है कि आप एक DOM में सीमित JS निष्पादन का दुरुपयोग कर सकें जो एक ही डोम के अलग पेज से बहुत रोचक कार्रवाई के साथ पहुंचने की क्षमता हो।
मूल रूप से, हमले की प्रवाह निम्नलिखित है:
एक कॉलबैक खोजें जिसे आप दुरुपयोग कर सकते हैं (संभावित रूप से [\w\._] तक सीमित)
यदि यह सीमित नहीं है और आप किसी भी JS को निष्पादित कर सकते हैं, तो आप इसे एक साधारण XSS के रूप में दुरुपयोग कर सकते हैं
विक्टिम से कहें कि एक पेज जिसे हमलावर नियंत्रित करता है, खोलें
**पेज खुद को खोल
Last updated