• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

xss поиск

s unity

Green Team
18.09.2019
207
26
после просмотра одного видео парня про поиск xss (в котором он говорит, что 95% уязвимы) пытался ручками через раздел поиска у разных сайтов выйти за пределы атрибутов методом qwe" но абсолютно на каждом сайте получал ...... value=" qwe" " .... санитизации нет, но и из атрибута я никак не могу выйти. даже на сайте, который лично писал, не смог выйти из атрибута. там точно нет никакой защиты, я ж сам его делал :D
у меня чувство, что я не допираю. подскажите пожалуйста.
 
Неужели никто не может подсказать?
кстати, вчера наткнулся на сайт. в поиск вбил qwe. посмотрел куда кве попала. как обычно попало в инпут с атрубитом value="qwe". ради интереса я вбил в поиск qwe"><script>alert(XSS)</alert><!-- и вы не поверите, сработало.
получается почти на всех сайтах есть какая то защита от этого? но какая? я вбиваю qwe" и атрибут не зарывается ковычкой, она даже не кодируется в html entities. у меня когнититвный диссонанс. гуглить не получается.
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы