10.07.2015, 11:15
|
|
Участник форума
Регистрация: 08.05.2015
Сообщений: 200
Провел на форуме:
56887
Репутация:
28
|
|
Сообщение от ocheretko
↑
Иньекция в переменную JavaScript
Здравствуйте, подскажите, почему не выполняется alert:
Код:
http://0-99.net/?ac=2&slt=8&slr=1&lpt=1&query=\%27}%3B+alert%28%2Fxss%2F%29%3B%2F%2F%2F*&afdToken=CkAKEwjp7KW6k8_GAhVD4HIKHcuVA5gYAyAAULHPoAFosc-gAXE70B9vzKjYaJEBUbpy7KsxVDeRAXLdUtcEjNmhEhkAbTqKkDxz3zZHTsR-u1N6ySOikXD104RF&search=1
Вывод:
Код:
'searchText': '\\'}; Alert(/Xss/);///*',
-----------------------------------------------------------------------------------
Похожая проблема у меня и вот с этой xss:
Код:
http://zhannei.baidu.com/cse/search?q=\%22%3Balert%28%29%3B%2F%2F&click=1&entry=1&s=3856084255718604899&nsid=
Вывод:
Код:
pageLog["q"] = "\\\";alert();//";
ну вот в этом случае
экранируется ' и вы не выходите за пределы значения параметра, соответственно все воспринимается как текст(значение параметра)
|
|
|