Một lỗ hổng an ninh chưa được khắc phục trong Travis CI API đã khiến cho hàng nghìn Access Token của người dùng trở thành mục tiêu của các cuộc tấn công tiềm ẩn. Điều này cho phép kẻ tấn công xâm phạm vào cơ sở hạ tầng đám mây, thực hiện thay đổi mã xác thực và bắt đầu các cuộc tấn công chuỗi...
Xin chào!
Hiện tại mình đang khai thác lỗi XSS ở một trang web, mình lấy được cookie nhưng không đầy đủ (thiếu cái quan trọng nhất là giá trị access_token :(). Mình không biết tại sao lại như thế, sau đó mình đã biết lý do khi mình F12 thì thấy biến access_token được cấu hình HttpOnly=true...