Как хакеры получают доступ к аккаунту без логина и пароля Находить XSS-уязвимости невероятно веселая вещь. От этого иногда страдают огромные корпорации, например:
eBay (2017) — хакеры внедряли вредоносные скрипты в объявления. Это привело к утечке учетных данных.
Facebook Messenger (2021) — уязвимость позволяла отправлять вредоносный код в сообщениях. Если пользователь кликал по такому сообщению, код выполнялся и токены доступа отправлялись хакеру.
Сегодня Давид решил зайти чуть дальше стандартного alert('xss’) и покажет
Account Takeover (ATO) через XSS — захват учетной записи.
Ссылка на инструмент из видео: OWASP Juice Shop