• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

xss поиск

s unity

s unity

Green Team
18.09.2019
207
26
BIT
0
после просмотра одного видео парня про поиск xss (в котором он говорит, что 95% уязвимы) пытался ручками через раздел поиска у разных сайтов выйти за пределы атрибутов методом qwe" но абсолютно на каждом сайте получал ...... value=" qwe" " .... санитизации нет, но и из атрибута я никак не могу выйти. даже на сайте, который лично писал, не смог выйти из атрибута. там точно нет никакой защиты, я ж сам его делал :D
у меня чувство, что я не допираю. подскажите пожалуйста.
 
Сортировать по дате Сортировать по голосам
Неужели никто не может подсказать?
кстати, вчера наткнулся на сайт. в поиск вбил qwe. посмотрел куда кве попала. как обычно попало в инпут с атрубитом value="qwe". ради интереса я вбил в поиск qwe"><script>alert(XSS)</alert><!-- и вы не поверите, сработало.
получается почти на всех сайтах есть какая то защита от этого? но какая? я вбиваю qwe" и атрибут не зарывается ковычкой, она даже не кодируется в html entities. у меня когнититвный диссонанс. гуглить не получается.
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ