ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Попробуй ">alert('xss'),

если не работает, попробуй другие способы обхода, а если и те не будут работать, то XSS нет.

При вводе alert("123") в комментах выводит alert("123"), а остальное съедает, но в браузере окошка с 123 не всплывает ,значит ли это что скрипт выполняется,? Если нет, то в чем проблема?

p. s. я знаю HTML

значит в инете, уже крайне мало сайтов с xss уязвимостями, Выходит, везде фильтров понаставили.

Присоединяюсь. XSS никуда не делись. Быть может, совершенно дебильных вариантов вроде хсс в родном пхпшном phpinfo() стало меньше, но в целом, они живее всех живых. Зачастую одна маленькая пассивка может позволить подняться чуть ли не до рута.

извините за глупый вопрос а как искать в пойсковой системе данную уязвимость уже пол интернета облазил где только я не вставлял код

ты имеешь ввиду запрос в гугл? если да - то лично я не видел подобных запросов.. обычно xss ищются через различный софт..который находит и чекает их. Ну думаю найти софтину в гугле не сильно сложно.. так что удачи)

Xss, в отличие от php,sql, etc не выдает ошибок на сайте, по которым можно было бы искать уязвимые площадки от этого и поиск возможен или вручную или программами, которые вбивают в параметры запроса ковычки, угловые скобки и теги между ними и смотрят, что ответит сервер. Если поиск в ответе дал заданные значение - xss, иначе - 0

Уже не один раз убедился, что софт, это далеко не человек. Даже самые последние сканеры, что я встречал, на некоторых сайтах пропускают найденное вручную.

Что то помнится в javascript есть такая функция , чтобы узнать полный путь до файла ... На помните пожалуйста, с alert'ом связано , чтобы окно выдавал и с promt , короче без разнице...

Прошу помощи