 |
|
07.02.2014, 19:13
|
|
Новичок
Регистрация: 17.01.2014
Сообщений: 5
Провел на форуме:
1290
Репутация:
0
|
|
При вводе alert("123") в комментах выводит alert("123"), а остальное съедает, но в браузере окошка с 123 не всплывает ,значит ли это что скрипт выполняется,? Если нет, то в чем проблема?
p. s. я знаю HTML
|
|
|
07.02.2014, 19:15
|
|
Постоянный
Регистрация: 12.10.2011
Сообщений: 569
Провел на форуме:
178623
Репутация:
94
|
|
Сообщение от Ivolve
При вводе alert("123") в комментах выводит alert("123"), а остальное съедает, но в браузере окошка с 123 не всплывает ,значит ли это что скрипт выполняется,? Если нет, то в чем проблема?
p. s. я знаю HTML
Попробуй ">alert('xss'),
если не работает, попробуй другие способы обхода, а если и те не будут работать, то XSS нет.
|
|
|
|
07.02.2014, 19:18
|
|
Новичок
Регистрация: 17.01.2014
Сообщений: 5
Провел на форуме:
1290
Репутация:
0
|
|
Сообщение от kingbeef
Скажи, а ты пост выше читал?
При вводе alert("123") в комментах выводит alert("123"), а остальное съедает, но в браузере окошка с 123 не всплывает ,значит ли это что скрипт выполняется,? Если нет, то в чем проблема?
p. s. я знаю HTML
|
|
|
|
07.02.2014, 19:20
|
|
Новичок
Регистрация: 17.01.2014
Сообщений: 5
Провел на форуме:
1290
Репутация:
0
|
|
Сообщение от MaxFast
Попробуй ">alert('xss'),
если не работает, попробуй другие способы обхода, а если и те не будут работать, то XSS нет.
значит в инете, уже крайне мало сайтов с xss уязвимостями, Выходит, везде фильтров понаставили.
|
|
|
|
10.02.2014, 00:42
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 1
Провел на форуме:
0
Репутация:
0
|
|
Сообщение от unic0rn
А вот это неправильно мнение. Ищите и найдете. Когда на крупном, практически государственном сайте, натыкаешься на очевидную SQLi - пропадает дар речи.
Про пароли админов 123456 и тд. вообще молчу.
Присоединяюсь. XSS никуда не делись. Быть может, совершенно дебильных вариантов вроде хсс в родном пхпшном phpinfo() стало меньше, но в целом, они живее всех живых. Зачастую одна маленькая пассивка может позволить подняться чуть ли не до рута.
|
|
|
|
13.02.2014, 19:17
|
|
Новичок
Регистрация: 30.01.2010
Сообщений: 8
Провел на форуме:
28203
Репутация:
0
|
|
извините за глупый вопрос а как искать в пойсковой системе данную уязвимость уже пол интернета облазил где только я не вставлял код
|
|
|
|
13.02.2014, 19:47
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 1
Провел на форуме:
0
Репутация:
0
|
|
Сообщение от Like-Angel
извините за глупый вопрос а как искать в пойсковой системе данную уязвимость уже пол интернета облазил где только я не вставлял код
ты имеешь ввиду запрос в гугл? если да - то лично я не видел подобных запросов.. обычно xss ищются через различный софт..который находит и чекает их. Ну думаю найти софтину в гугле не сильно сложно.. так что удачи)
|
|
|
|
13.02.2014, 20:20
|
|
Участник форума
Регистрация: 23.06.2013
Сообщений: 103
Провел на форуме:
23349
Репутация:
45
|
|
Xss, в отличие от php,sql, etc не выдает ошибок на сайте, по которым можно было бы искать уязвимые площадки от этого и поиск возможен или вручную или программами, которые вбивают в параметры запроса ковычки, угловые скобки и теги между ними и смотрят, что ответит сервер. Если поиск в ответе дал заданные значение - xss, иначе - 0
|
|
|
|
17.02.2014, 04:18
|
|
Постоянный
Регистрация: 19.09.2008
Сообщений: 511
Провел на форуме:
1866685
Репутация:
340
|
|
Сообщение от None
обычно xss ищются через различный софт..который находит и чекает их
Уже не один раз убедился, что софт, это далеко не человек. Даже самые последние сканеры, что я встречал, на некоторых сайтах пропускают найденное вручную.
|
|
|
|
02.09.2014, 18:45
|
|
Познающий
Регистрация: 15.09.2013
Сообщений: 68
Провел на форуме:
24060
Репутация:
0
|
|
Что то помнится в javascript есть такая функция , чтобы узнать полный путь до файла ... На помните пожалуйста, с alert'ом связано , чтобы окно выдавал и с promt , короче без разнице...
Прошу помощи
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
