Bo0oM
25.10.2010, 19:24
Чисто для общего развития.
Не многие знают об этой уязвимости, действует как пассивная или активная XSS при работе с DHTML (динамическим html), реагирует на одно из событий, например onMouseOver - возникает при наведении курсора мыши на элемент, подверженный уязвимости. (другие события DHTML и примеры их использования тут (http://design.originweb.info/dhtml.html))
Полезно при фильтрации символов ">" и "[B]XSS не проёдет
Примеры формирования (алерт при наведении мыши на текст):
Code:
http://javagala.ru/dwnld/index.php/" onmouseover=alert() bad="
Code:
http://javagala.ru/dwnld/index.php/"onmouseover=alert()%3E
После детального изучения выяснилось, что большое количество сайтов подвержено данной уязвимости.
Вот так вот...
Не многие знают об этой уязвимости, действует как пассивная или активная XSS при работе с DHTML (динамическим html), реагирует на одно из событий, например onMouseOver - возникает при наведении курсора мыши на элемент, подверженный уязвимости. (другие события DHTML и примеры их использования тут (http://design.originweb.info/dhtml.html))
Полезно при фильтрации символов ">" и "[B]XSS не проёдет
Примеры формирования (алерт при наведении мыши на текст):
Code:
http://javagala.ru/dwnld/index.php/" onmouseover=alert() bad="
Code:
http://javagala.ru/dwnld/index.php/"onmouseover=alert()%3E
После детального изучения выяснилось, что большое количество сайтов подвержено данной уязвимости.
Вот так вот...