XSS крупным планом.

#10

27.01.2006, 02:38

~~Humor~~

Banned

Регистрация: 26.01.2006

Сообщений: 19

Провел на форуме:
22474

Репутация: 0

Цитата:

Сообщение от slime

Статья -- АРХИРУЛЕЗ

Я вот все думал почему
<span style='background:url("javascript:alert()");'>wj</span>
не работает в опере..... а тут оказалось что работает... только вот для того чтобы работало надо чтобы и одинарные и двойные кавычки не фильтровались... грустно это как-то

Мда...СОВСЕМ не факт имхо...

Имхо ну для начало вот так,

Код HTML:

<span style='background:url("javascript:alert()");'>wj</span>

В скобках обязательно нужно писать какие нить данные, ибо это грамматически правильно и тогда тоже будет работать в Фаерфокс. Если же в скобках укажешь пустату, то пустотой у тебя и будет в Фаерфоксе. То есть будет только работать в ИЕ и в Опера, а в Фаерфокс - НЕТ!!!!!!

Хотя это даже не важно и не является фактом ибо в Фаерфоксе ведь все ровно защита от таких выкрутасываний имхо.

А то что кавычки фильтруются, то и это не беда ибо в параметрах (То, что идет после знака равенства) можно кодировать в HTML entities.

Используй эту ссылку для шифровки.

http://ha.ckers.org/xss.html

В самом низу.

Кстати и античату не мешало бы сделать что нить такое а то приходится ссылаться на другие классные проекты. Чем мы хуже имхо спрашивается имхо????"!"!"!"!"

К примеру это,

Код HTML:

<span style=background:url('javascript:alert(/wj/)')>wj</span>

Будет тоже работать и вот так,

Код HTML:

<span style=&#x62;&#x61;&#x63;&#x6B;&#x67;&#x72;&#x6F;&#x75;&#x6E;&#x64;&#x3A;&#x75;&#x72;&#x6C;&#x28;&#x27;&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3A;&#x61;&#x6C;&#x65;&#x72;&#x74;&#x28;&#x2F;&#x77;&#x6A;&#x2F;&#x29;&#x27;&#x29;>wj</span>

Последний раз редактировалось Humor; 27.01.2006 в 02:47..

ANTICHAT — форум по информационной безопасности, OSINT и технологиям