Ваши вопросы по уязвимостям.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.

Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.

⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

Вопрос по XSS

#11

05.02.2010, 21:54

Nightmarе

Познавший АНТИЧАТ

Регистрация: 29.04.2007

Сообщений: 1,189

Провел на форуме:
5749763

Репутация: 1680

Отправить сообщение для Nightmarе с помощью ICQ

Вопрос по XSS

Скажите, возможно ли провести XSS атаку на сайте, если сайт через яваскрипт генерирует, что то типа временной сессии, без которой посылает нах запрос ?

Вот пример. Сайт РСН:
http://rusnovosti.ru/
Если в поиске вписать <script>alert()</script> то высвечивается алерт.
Так вот, собрался я было делать боевой HTML код для фрейма, но тут обломилось.
Я юзаю такую вещь для проверки:

Код:

<body onload="p.submit()">
<form action="http://rusnovosti.ru/search/" method="post" id="p"> 
<input type=hidden name="search" value="<script>alert()</script>">

(Поскольку данные передаются через POST), но желаемый alert не выскакивает.
Когда же я копнул запрос, то обнаружил в нем кучу всякого рода значений, и зашифрованную в base64 какую то инфу чуть не на 10 килобайт (которую так и не удалось расшифровать).
Ну вот собственно вопрос, в этом случае возможна ли полноценная XSS атака на этот сайт? Или XSS тут использовать бесполезно?