Forum » Pomoč in nasveti » XSS
XSS
helsing ::
Delam šolsko nalogo na temo varnosti - cross site scripting. Kolikor gledam po internetu primere, vidim, da jih večina vbrizga payload preko url, ki ga bi naj kliknila žrtev. Ampak kolikor testiram to v browserjih (razen IE) ni mogoče saj se
Vem, da še obstajajo druge metode, ampak te (reflected XSS) znotraj npr. Chromea ne morem izvesti:
Ena rešitev je sicer POST request ampak me zanima če se da zadevo izvesti direktno preko klika na url.
'<' in '>'znotraj URL vrstice takoj pretvorita v '%3C' in '%3E'. HTML se posledično ne more izvesti.
Vem, da še obstajajo druge metode, ampak te (reflected XSS) znotraj npr. Chromea ne morem izvesti:
localhost/?bb=<svg/onload=location='javascript:alert(1)'>
Ena rešitev je sicer POST request ampak me zanima če se da zadevo izvesti direktno preko klika na url.
stb ::
'%3C' in '%3E' sta še vedno ista znaka za HTML injection, le prilagojena (kodirana) sta za ta način prenosa v URLju.
Percent-encoding @ Wikipedia
Percent-encoding @ Wikipedia
helsing ::
Pa res... Ne vem zakaj mi je sprva prikazovalo % znake na mesto "izrisanih" elementov.
Hvala :)
EDIT: Zdaj bo še pa treba prelisičit Chrome XSS Auditor :p
Hvala :)
EDIT: Zdaj bo še pa treba prelisičit Chrome XSS Auditor :p
Zgodovina sprememb…
- spremenil: helsing ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Javascript DOM based XSS vulnerabilityOddelek: Programiranje | 3366 (2788) | MrStein |
| » | Inline JS v HTML; varnost, XSS, ...Oddelek: Programiranje | 2117 (1725) | MrStein |
| » | [javascript] XML problemOddelek: Programiranje | 2989 (2829) | Kocka |
| » | (Ne)nevarni XSS napadiOddelek: Novice / Varnost | 6015 (4533) | lambda |
| » | Raziskava o ranljivosti spletnih strani z SQL bazami podatkovOddelek: Novice / Varnost | 5225 (4561) | sverde21 |