Jak XSS-em wykonać kod w systemie operacyjnym? Google hangouts chat: filmik.

Tutaj film przygotowany na ostatnie sekurak hacking party przez Michała Bentkowskiego. Całość trwa niecałe 7 minut + czas potrzebny na myślenie (spacją możecie odpalać kolejne sekwencje).

Zobaczycie realny przykład appki chatu (od Google) napisanej z wykorzystaniem Electrona. Klikacie na coś z chatu, a tu bum – wykonuje się kod na Waszym kompie.

Jeśli ktoś chce zobaczyć finalny efekt – bezpośredni link do filmu tutaj, akcja od 7:20:

RCE

–ms