Forum » Pomoč in nasveti » XSS
XSS
helsing ::
Delam šolsko nalogo na temo varnosti - cross site scripting. Kolikor gledam po internetu primere, vidim, da jih večina vbrizga payload preko url, ki ga bi naj kliknila žrtev. Ampak kolikor testiram to v browserjih (razen IE) ni mogoče saj se
Vem, da še obstajajo druge metode, ampak te (reflected XSS) znotraj npr. Chromea ne morem izvesti:
Ena rešitev je sicer POST request ampak me zanima če se da zadevo izvesti direktno preko klika na url.
'<' in '>'znotraj URL vrstice takoj pretvorita v '%3C' in '%3E'. HTML se posledično ne more izvesti.
Vem, da še obstajajo druge metode, ampak te (reflected XSS) znotraj npr. Chromea ne morem izvesti:
localhost/?bb=<svg/onload=location='javascript:alert(1)'>
Ena rešitev je sicer POST request ampak me zanima če se da zadevo izvesti direktno preko klika na url.
stb ::
'%3C' in '%3E' sta še vedno ista znaka za HTML injection, le prilagojena (kodirana) sta za ta način prenosa v URLju.
Percent-encoding @ Wikipedia
Percent-encoding @ Wikipedia
helsing ::
Pa res... Ne vem zakaj mi je sprva prikazovalo % znake na mesto "izrisanih" elementov.
Hvala :)
EDIT: Zdaj bo še pa treba prelisičit Chrome XSS Auditor :p
Hvala :)
EDIT: Zdaj bo še pa treba prelisičit Chrome XSS Auditor :p
Zgodovina sprememb…
- spremenil: helsing ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Javascript DOM based XSS vulnerabilityOddelek: Programiranje | 2846 (2268) | MrStein |
» | Inline JS v HTML; varnost, XSS, ...Oddelek: Programiranje | 1788 (1396) | MrStein |
» | [javascript] XML problemOddelek: Programiranje | 2707 (2547) | Kocka |
» | (Ne)nevarni XSS napadiOddelek: Novice / Varnost | 5799 (4317) | lambda |
» | Raziskava o ranljivosti spletnih strani z SQL bazami podatkovOddelek: Novice / Varnost | 4926 (4262) | sverde21 |