Site-DOM-XSS using Cookie Injection: The AI Hackers are Coming Faster than You Think 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我得仔细阅读文章，理解主要观点。 文章讲的是最近用AI发现漏洞的趋势，特别是AI在寻找客户端漏洞方面的有效性。作者使用AI找到了一个DOM XSS漏洞，涉及到base_domain cookie的验证问题。然后AI又发现了另一个cookie注入漏洞，通过URL参数控制。这两个漏洞被成功利用，实现了XSS攻击。 作者提到这些复杂漏洞通常很难手动发现，但AI却能轻松做到。这引发了对传统安全研究未来的担忧，认为AI可能会取代很多工作，只剩下极少数深入研究的人能继续发挥作用。 总结的时候要抓住关键点：AI发现漏洞、两个具体例子、传统方法的挑战以及对未来的担忧。控制在100字以内，确保信息完整且简洁。 </think> 文章描述了利用AI发现复杂客户端漏洞的过程。通过分析压缩的JS文件，AI识别出一个基于cookie的DOM XSS漏洞，并进一步发现了一个cookie注入漏洞。这两个漏洞被成功链式利用以实现跨站脚本攻击（XSS）。文章指出，传统安全研究方法难以发现此类复杂问题，而AI技术正迅速改变这一现状。... 2026-4-5 11:7:59 | 阅读: 24 | 收藏 | 0day Fans - medium.com attacker tt client injection

嗯，用户让我总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我需要仔细阅读这篇文章，理解它的主要观点和攻击手法。 文章主要讲的是通过拖放、DOM XSS、postMessage劫持和Cookie炸弹来窃取OAuth令牌。攻击者利用了iframe缺少sandbox属性、拖放跨域漏洞、postMessage事件监听器的不安全配置以及设置大量Cookie来阻塞OAuth回调。 接下来，我需要把这些关键点浓缩到100字以内。要确保涵盖所有主要攻击步骤：拖放注入XSS，劫持postMessage引导用户点击Evaluate，设置Cookie炸弹阻止OAuth回调，最终窃取授权码和会话ID。 最后，检查一下语言是否简洁明了，没有使用任何技术术语之外的复杂词汇，确保读者能够快速理解攻击的整体流程。 </think> 文章描述了一种结合拖放攻击、DOM XSS、postMessage劫持和Cookie炸弹技术的攻击手法，通过诱使用户拖动一个图像并点击“Evaluate”按钮，在目标网站上注入恶意脚本。该脚本利用iframe缺少sandbox属性和跨域拖放机制获取同源权限，并通过postMessage事件诱导用户执行恶意代码。最终通过设置大量Cookie阻塞OAuth回调页面，窃取OAuth授权码和会话ID，实现账户接管。... 2026-3-10 11:35:40 | 阅读: 7 | 收藏 | 0day Fans - medium.com drag payload popup 2026 victim

Sophisticated Telegram Based Scam Designed to Fool Fragment Users 作者在Telegram的Fragment市场上出售用户名时遇到一名骗子，对方伪造Fragment界面试图诈骗。通过技术分析发现骗子网站与游戏项目关联，并怀疑运营者可能参与诈骗活动。... 2025-9-2 05:20:9 | 阅读: 43 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com username ton fragment bid clearly

When CTF Meets Bug Bounty: A Critical UXSS in Opera Browser 作者在WACON CTF 2023中设计了一个浏览器挑战“operaaa”，参赛者jinu意外发现Opera浏览器中的一个严重跨站脚本（UXSS）漏洞。该漏洞通过GX.games中的重定向参数触发XSS攻击，并利用chrome.tabs接口泄露其他标签页的URL。结合OAuth流程，可接管用户账户。该漏洞影响 Opera PC、Mac 和 Linux 版本以及 Opera GX，并于2023年10月13日修复。... 2025-8-24 23:11:36 | 阅读: 12 | 收藏 | 0day Fans - medium.com opera tabs chrome gx victim

Tea App Hack: Disassembling The Ridiculous App Source Code By now, everyone has heard of the “Tea app” getting hacked: “Hackers leak 13,000 user photos and IDs... 2025-8-2 14:9:11 | 阅读: 21 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com tea gossip disassemble teaforwomen dating

How I made $64k from deleted files — a bug bounty story Sharon Brizinov开发了一个自动化工具，扫描了数万个公开GitHub仓库，恢复了被删除的文件并搜索其中的泄露密钥和令牌。他发现了大量未撤销的API密钥和凭证，并通过报告漏洞获得了约6.4万美元的赏金。... 2025-7-11 14:27:57 | 阅读: 12 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com github repository committed unreachable developers

HTML Injection to Stored XSS and Account Takeover 文章描述了一个复杂的漏洞链攻击过程：通过HTML注入结合jQuery的replaceWith方法，在目标网站上实现了存储型XSS，并最终导致账户接管。攻击者利用Cloudinary图片服务特性，在图片中嵌入恶意代码，窃取用户令牌并接管账户。... 2025-4-30 14:11:41 | 阅读: 13 | 收藏 | 0day Fans - medium.com pagination cloudinary remote payload jquery

VibeScamming — From Prompt to Phish: Benchmarking Popular AI Agents’ Resistance to the Dark Side 2025-4-9 13:16:7 | 阅读: 17 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com

Stored XSS in My Flow To RCE in Opera Browser #2 2025-3-30 00:33:44 | 阅读: 19 | 收藏 | 0day Fans - medium.com

Reflected XSS In Main Search, WAF+Sanitizer Bypass Using 2 Reflections 2025-2-12 23:15:17 | 阅读: 11 | 收藏 | 0day Fans - medium.com

Client Side Path Traversal (CSPT) Bug Bounty Reports and Techniques 2025-1-24 21:2:56 | 阅读: 4 | 收藏 | 0day Fans - medium.com

“DeceptionAds” — Fake Captcha Driving Infostealer Infections and a Glimpse to the Dark Side of… 2024-12-16 14:16:44 | 阅读: 6 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com

“CrossBarking” — Exploiting a 0-Day Opera Vulnerability with a Cross-Browser Extension Store Attack 2024-10-30 21:16:29 | 阅读: 3 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com

Insider Secrets to Earning $100 to $250 in Bug Bounties 2024-9-3 03:44:26 | 阅读: 6 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - medium.com

“EchoSpoofing” — A Massive Phishing Campaign Exploiting Proofpoint’s Email Protection to Dispatch… 2024-7-29 21:2:29 | 阅读: 14 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com

Web Application Firewall (WAF) Evasion Techniques 2024-6-6 23:0:41 | 阅读: 13 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com

Detecting human users: Is there a way to block enumeration, fuzz or web scan? 2024-6-6 23:0:39 | 阅读: 11 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com

Web Application Firewall (WAF) Evasion Techniques #2 2024-6-6 23:0:38 | 阅读: 16 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com

PHP SSRF Techniques 2024-6-6 23:0:37 | 阅读: 13 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com

Building A HackTheBox FluxCapacitor 2024-6-6 23:0:36 | 阅读: 11 | 收藏 | Over Security - Cybersecurity news aggregator - medium.com