Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Вопрос по XSS (https://forum.antichat.xyz/showthread.php?t=207527)

ЖенькО 29.05.2010 01:20
Вопрос по XSS
 
Программка очень ругается на ссылку вида:
site.re/css/langcss.php
При переходе на ссылку, отображается следующее:
PHP код:
#logoimg2{background-image:url(../img//logo2.gif);background-position:left;background-repeat:no-repeat;height:68px;width:490px;} 
Программке доверяю очень, так как SQL находит безошибочна, а на ссылку пишет "cross site scripting", причём выдало 17 вариантов хакнуть страничку, вот примерно так говорит мне, поступать:
Код HTML:
The GET variable l has been set to 1<script>alert(430282244457)</script>.
Код HTML:
The GET variable l has been set to 1<ScRiPt%20%0a%0d>alert(430292244457)%3B</ScRiPt>.
ну и так далее =)

Но в мой ум не вмещается, как реализовать XSS, когда линк такого вида.. Кстати при добавлении чего-либо к линку - 0 действий.. наверно не то добавляю)
Жду ваших идей о том как это реализовать и что мне с этим делать)

Ruslan1817 29.05.2010 01:33
дай линк и ПМ

4upakabr0 29.05.2010 02:30
Вариантов передачи параметров масса. Начиная от всеми любимого GET - когда параметры в ссылке, продолжая POST-ом и заканчивая сессиями. Свяжись со мною в асю я попробую подсказать.
А вообще смотри какие поля есть в теге <form>...</form> страницы откуда делаешь переход на site.re/css/langcss.php

Ruslan1817 29.05.2010 02:48
Я завтра честно посморю... просто выпил и смешно)

4upakabr0 29.05.2010 03:44
Теперь расскажите как сделать так чтобы данные приходящие от пыхоскрипта с заголовокм Content_type: text/css обрабатывались как HTML\JS чтобы получить XSS?

Chaak 29.05.2010 12:33
Цитата:
Сообщение от 4upakabr0
Теперь расскажите как сделать так чтобы данные приходящие от пыхоскрипта с заголовокм Content_type: text/css обрабатывались как HTML\JS чтобы получить XSS?
Никак


Время: 05:27