HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ОФФТОП > Болталка
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

FF, реализовать xss ..
  #1  
Старый 17.08.2008, 18:09
BlackSun
Познавший АНТИЧАТ
Регистрация: 01.04.2007
Сообщений: 1,268
С нами: 10058786

Репутация: 4589


Question FF, реализовать xss ..

Есть код (часть):
document.getElementById('chat').innerHTML = document.getElementById('chat').innerHTML + httpRequest.responseText;
httpRequest.responseText - текст, отправленный юзром, фильтров нет, как реализовать xss, чтобы работала в FF? <script>alert()</script> и прочие банально не пашут .. в опере пашет <img src="javascript:alert()">, но это в опере .. нужен ФФ)
 
Ответить с цитированием

  #2  
Старый 17.08.2008, 18:48
BlackSun
Познавший АНТИЧАТ
Регистрация: 01.04.2007
Сообщений: 1,268
С нами: 10058786

Репутация: 4589


По умолчанию

ап
 
Ответить с цитированием

  #3  
Старый 17.08.2008, 18:56
DimOnOID
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
С нами: 10226672

Репутация: 441
По умолчанию

дой ссылку
 
Ответить с цитированием

  #4  
Старый 17.08.2008, 19:08
BlackSun
Познавший АНТИЧАТ
Регистрация: 01.04.2007
Сообщений: 1,268
С нами: 10058786

Репутация: 4589


По умолчанию

Цитата:
Сообщение от DimOnOID  
дой ссылку
ссылка на локалхосте ..
 
Ответить с цитированием

  #5  
Старый 17.08.2008, 19:10
DimOnOID
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
С нами: 10226672

Репутация: 441
По умолчанию

Тогда подставляй
_http://ha.ckers.org/xss.html
_http://forum.antichat.ru/thread34993.html там у него в атаче файл....
 
Ответить с цитированием

  #6  
Старый 17.08.2008, 19:15
BlackSun
Познавший АНТИЧАТ
Регистрация: 01.04.2007
Сообщений: 1,268
С нами: 10058786

Репутация: 4589


По умолчанию

> _http://ha.ckers.org/xss.html
ни одна не пашет .. (кроме <EMBED SRC=" ее не тестил)

> _http://forum.antichat.ru/thread34993.html
тоже 0

Последний раз редактировалось BlackSun; 17.08.2008 в 19:31..
 
Ответить с цитированием

  #7  
Старый 17.08.2008, 20:03
Ponchik
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
С нами: 10892546

Репутация: 2274


По умолчанию

Пробовал в <script> указать language?
Врядле конечно, но малоли... В старых версиях IE JS не работал без language Такчто может и ff такойже капризный...
 
Ответить с цитированием

  #8  
Старый 17.08.2008, 20:39
BlackSun
Познавший АНТИЧАТ
Регистрация: 01.04.2007
Сообщений: 1,268
С нами: 10058786

Репутация: 4589


По умолчанию

Цитата:
Сообщение от Ponchik  
Пробовал в <script> указать language?
Врядле конечно, но малоли... В старых версиях IE JS не работал без language Такчто может и ff такойже капризный...
Тоже облом ..

-------------- ладно, перефразируем вопрос
Код:
	.....
	<div id="chat">
	<script>
		function botReport(httpRequest)
		{
			if (httpRequest.readyState == 4) 
			{
            				if (httpRequest.status == 200) 
            				{ 
                				document.getElementById('chat').innerHTML = document.getElementById('chat').innerHTML + httpRequest.responseText;
                				document.body.scrollTop = 99999;
            				}
            			}
        		}
	......
Как модифицировать код, чтобы была нормальная xss? document.write() не предлагать, он перезаписывает документ ..
 
Ответить с цитированием

  #9  
Старый 17.08.2008, 21:59
BlackSun
Познавший АНТИЧАТ
Регистрация: 01.04.2007
Сообщений: 1,268
С нами: 10058786

Репутация: 4589


По умолчанию

Тема закрыта) Под фф пашет -
<img src=1.gif onerror=alert(1)>
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[ Обзор Уязвимостей .:Drupal :. ] Cawabunga Веб-уязвимости 43 12.01.2021 19:31
Cross Site Scripting FAQ k00p3r Уязвимости 6 12.06.2005 16:23



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.