» »

XSS

XSS

helsing ::

Delam šolsko nalogo na temo varnosti - cross site scripting. Kolikor gledam po internetu primere, vidim, da jih večina vbrizga payload preko url, ki ga bi naj kliknila žrtev. Ampak kolikor testiram to v browserjih (razen IE) ni mogoče saj se
'<' in '>'
znotraj URL vrstice takoj pretvorita v '%3C' in '%3E'. HTML se posledično ne more izvesti.
Vem, da še obstajajo druge metode, ampak te (reflected XSS) znotraj npr. Chromea ne morem izvesti:
localhost/?bb=<svg/onload=location='javascript:alert(1)'>

Ena rešitev je sicer POST request ampak me zanima če se da zadevo izvesti direktno preko klika na url.

stb ::

'%3C' in '%3E' sta še vedno ista znaka za HTML injection, le prilagojena (kodirana) sta za ta način prenosa v URLju.

Percent-encoding @ Wikipedia

helsing ::

Pa res... Ne vem zakaj mi je sprva prikazovalo % znake na mesto "izrisanih" elementov.
Hvala :)

EDIT: Zdaj bo še pa treba prelisičit Chrome XSS Auditor :p

Zgodovina sprememb…

  • spremenil: helsing ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Javascript DOM based XSS vulnerability

Oddelek: Programiranje
152846 (2268) MrStein
»

Inline JS v HTML; varnost, XSS, ...

Oddelek: Programiranje
211788 (1396) MrStein
»

[javascript] XML problem

Oddelek: Programiranje
132707 (2547) Kocka
»

(Ne)nevarni XSS napadi

Oddelek: Novice / Varnost
245799 (4317) lambda
»

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Oddelek: Novice / Varnost
204926 (4262) sverde21

Več podobnih tem