Кавычка

Кавычка

Предательство Safari. Чтение локальных файлов с дальнейшей отправкой на сервер помощью html документа. https://xakep.ru/2017/07/06/safari-localfile-read/ https://github.com/Bo0oM/Safiler

Помните, как мы пробовали читать локальные файлы в Safari?
Оказывается, есть еще одна особенность этого замечательного браузера! Если файл скачан из интернета - читать файлы напрямую нельзя. Но не совсем. Ведь скачанным файлом можно создать еще один html файл (который появится рядом с оригинальным) и открыть на него фрейм!
Вот демонстрация эксплойта, в котором пользователю отдается html файл, если открыть его в Safari, будет попытка слить всякие логины/пароли на локальные сервер (в консоле будут соответствующие ошибки, а если запустить оригинальный python сервер, файлы появятся в соответствующей папке).

Демонстрация:
https://bo0om.ru/safari_poc/

www.tgoop.com/webpwn/160

6.96K viewsBo0oM 💣, Oct 9, 2017 at 12:50

Помните, как мы пробовали читать локальные файлы в Safari?
Оказывается, есть еще одна особенность этого замечательного браузера! Если файл скачан из интернета - читать файлы напрямую нельзя. Но не совсем. Ведь скачанным файлом можно создать еще один html файл (который появится рядом с оригинальным) и открыть на него фрейм!
Вот демонстрация эксплойта, в котором пользователю отдается html файл, если открыть его в Safari, будет попытка слить всякие логины/пароли на локальные сервер (в консоле будут соответствующие ошибки, а если запустить оригинальный python сервер, файлы появятся в соответствующей папке).

Демонстрация:
https://bo0om.ru/safari_poc/

BY Кавычка