06.02.2011, 03:49
|
|
Moderator - Level 7
Регистрация: 04.02.2007
Сообщений: 554
С нами:
10139306
Репутация:
1089
|
|
Сообщение от rootmd
Добрый вечер. Вот такая трабла, в пасивном XSS фильтрируется ">"
Вот код, показывает куки:
id=348532&returnto=>" уже есть. А как отправить куки на моем сервере? не пашет, так как используется ">" дважды
в каждом отдельном случае надо смотреть как обойти фильтр, как правило надо смотреть обрезается только > или полностью код, панацеи тут нет как вариант помогает закодировать строку ну например строку alert(document.cookie) полностью заменяет такой код data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raW UpPC9zY3JpcHQ+
как видиш в нем не содержиться символа >
вобщем нельзя что то советовать , не видя конкретного сайта с уязвимостью
|
|
|