Iniezione javascript in un avviso

Question

Iniezione javascript in un avviso

#1 da (1 voti)

0

Ho una funzione come questa in cui json è un oggetto json che si trova in questo modulo err : someNumber , e voglio inserire javascript in quell'avviso in modo che forse potrei iniettare ajax lì o qualcos'altro, come farei per farlo? (Se è anche possibile)

function imageShow(json) {
if (json && 'err' in json && json.err != "" && json.err != "200" && json.err != "OK")
    {
        alert (json.err);
    }
}

Ad esempio:

lascia che json.err sia { "err" : "<script> alert(\"Hey\");</script> } . e quindi potrei usare quell'avviso all'interno dell'allerta.

In caso contrario, ho questa stessa funzione con questo Gli stessi dati JSON e lo stesso tutto, ma invece di avvisare, cambia l'origine di una immagine in json.err : Posso iniettare qualcosa in questo?

function imageShow(json) {

if (json && 'err' in json && json.err != "" && json.err != "200" && json.err != "OK")
    {
        $("#img")[0].src = json.err;
    }

}

javascript injection

posta Guysudai1 21.04.2018 - 17:25

fonte

1 risposta

Leggi altre domande sui tag javascript injection

È possibile lo spoofing IP in Windows Desktop con i privilegi dell'utente? Come posso enumerare tutti gli endpoint di un'API?

score 1 · Accepted Answer

Il messaggio in una casella alert() viene sempre visualizzato come testo normale. Non puoi inserire codice qui.
L'impostazione di src di un'immagine su un valore controllato dall'utente non può portare a XSS, ma ad alcune altre vulnerabilità meno gravi, come spiegato in questa discussione .