• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

xss поиск

s unity

Green Team
18.09.2019
207
26
BIT
0
после просмотра одного видео парня про поиск xss (в котором он говорит, что 95% уязвимы) пытался ручками через раздел поиска у разных сайтов выйти за пределы атрибутов методом qwe" но абсолютно на каждом сайте получал ...... value=" qwe" " .... санитизации нет, но и из атрибута я никак не могу выйти. даже на сайте, который лично писал, не смог выйти из атрибута. там точно нет никакой защиты, я ж сам его делал :D
у меня чувство, что я не допираю. подскажите пожалуйста.
 

s unity

Green Team
18.09.2019
207
26
BIT
0
Неужели никто не может подсказать?
кстати, вчера наткнулся на сайт. в поиск вбил qwe. посмотрел куда кве попала. как обычно попало в инпут с атрубитом value="qwe". ради интереса я вбил в поиск qwe"><script>alert(XSS)</alert><!-- и вы не поверите, сработало.
получается почти на всех сайтах есть какая то защита от этого? но какая? я вбиваю qwe" и атрибут не зарывается ковычкой, она даже не кодируется в html entities. у меня когнититвный диссонанс. гуглить не получается.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!