Làm thế nào để lấy giá trị access_token khi HttpOnly=true?

Thảo luận trong 'Hỏi đáp' bắt đầu bởi Pain, 25/03/20, 05:03 PM.

  1. Pain

    Pain Member

    Tham gia: 11/09/18, 12:09 PM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    1
    Xin chào!

    Hiện tại mình đang khai thác lỗi XSS ở một trang web, mình lấy được cookie nhưng không đầy đủ (thiếu cái quan trọng nhất là giá trị access_token :(). Mình không biết tại sao lại như thế, sau đó mình đã biết lý do khi mình F12 thì thấy biến access_token được cấu hình HttpOnly=true.

    Vậy cho mình hỏi có cách nào để lấy được access_token trong trường hợp này không?

    Cảm ơn!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 293
    Đã được thích: 91
    Điểm thành tích:
    28
    Chào bạn,
    cookie set giá trị HttpOnly=true thì câu lệnh javascript không lấy được thông tin này nhé.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan