cercando di xss un sito [chiuso]

0
http://XXX/?subscribe_message=%3Cscript%3Ealert(/zzz/);%3C/script%3E

Perché non compare questo popup con un / zzz / alert? Quando faccio javascript:alert(/zzz/); nella barra degli indirizzi lo fa perché non quando lo faccio tramite l'URL? Uno sguardo al codice sorgente mi fa pensare / dovrebbe / lavorare ...

    
posta stilver 04.07.2014 - 08:50
fonte

2 risposte

3

Alcuni browser come Chrome hanno funzionalità anti-XSS che bloccano attacchi evidenti. Se apri la console JavaScript del tuo browser, dovresti visualizzare gli avvisi.

Disattiva temporaneamente la protezione o utilizza un altro browser.

    
risposta data 04.07.2014 - 11:45
fonte
0

Ogni volta che ho bisogno di testare un sito Web specifico per verificare le vulnerabilità di xss, utilizzo questo plugin per Firefox: link

Ti dà una bella prima impressione delle possibili vulnerabilità esistenti. In particolare, è consigliabile studiare su JS e XSS. Non andare per un approccio scriptkiddie:)

    
risposta data 04.07.2014 - 10:57
fonte

Leggi altre domande sui tag