Quando provo XSS su vari siti web, come l'inserimento di " onmouseover="alert(1) in una casella di ricerca, ottengo un messaggio che dice You don't have permission to access this page o This page cannot be displayed . È a causa del browser che sto usando (IE 11) o è un metodo di difesa contro XSS?
La pagina XSS non può essere visualizzata
1
posta BillyBob
27.05.2016 - 05:01
fonte
1 risposta
0
Il primo - "Non hai il permesso di accedere a questa pagina" - non suona come il browser. Il secondo - "Questa pagina non può essere visualizzata" - potrebbe essere.
Diversi browser reagiscono in modo diverso quando catturano un attacco XSS. Se mode=block è impostato nell'intestazione X-XSS-Protection , sia l'ultima versione di Chrome che IE ti daranno una pagina simile a quella che ottieni se non disponi di una connessione Internet:
# e una finestra di avviso nella parte inferiore della pagina.
Se mode=block non è impostato, sia Chrome che IE filtreranno silenziosamente il JavaScript inserito e visualizzeranno la pagina senza.
Se vuoi testare come reagisce un browser specifico, ti consiglio di questa pagina di prova eccezionale. Confronta le pagine di errore ottenute con ciò che viene visualizzato sul sito per sapere se è il browser o meno.
Quindi, se non è il browser, cos'è allora? Probabilmente è la pagina che stai cercando di sfruttare che ha catturato il tuo tentativo XSS e ti offre una pagina di errore standard per respingere il tuo attacco. O forse hai causato un errore interno del server e la pagina di errore è un fallback predefinito, se ciò accade. È impossibile sapere con certezza cosa sta succedendo dietro le quinte sul server senza avere il codice sorgente che usa.
Leggi altre domande sui tag javascript internet-explorer web-browser xss