Cuando intento XSS en varios sitios web, como insertar " onmouseover="alert(1) en un cuadro de búsqueda, recibo un mensaje que dice You don't have permission to access this page o This page cannot be displayed . ¿Esto se debe al navegador que uso (IE 11) o es un método de defensa contra XSS?
No se puede mostrar la página XSS
1
pregunta BillyBob
27.05.2016 - 05:01
fuente
1 respuesta
0
El primero: "No tienes permiso para acceder a esta página", no suena como el navegador. El segundo, "Esta página no se puede mostrar", podría ser.
Los diferentes navegadores reaccionan de manera diferente cuando atrapan un ataque XSS. Si mode=block está configurado en el encabezado X-XSS-Protection , tanto la última versión de Chrome como de IE te darán una página similar a la que obtienes si no tienes conexión a Internet:
# y un cuadro de diálogo de advertencia en la parte inferior de la página.
Si mode=block no está configurado, tanto Chrome como IE simplemente filtrarán silenciosamente el JavaScript inyectado y mostrarán la página sin él.
Si desea probar cómo reacciona un navegador específico, recomiendo esta gran página de prueba. Compare las páginas de error que recibió con lo que muestra ese sitio para saber si es el navegador o no.
Entonces, si no es el navegador, ¿qué es entonces? Probablemente sea la página que está intentando explotar la que haya captado su intento de XSS y le sirva una página de error estándar para defenderse de su ataque. O tal vez causó un error interno del servidor y la página de error es un respaldo predeterminado si eso sucede. Es imposible saber con certeza lo que está sucediendo entre bastidores en el servidor sin tener el código fuente que utiliza.
respondido por el Anders
27.05.2016 - 13:02
fuente
Lea otras preguntas en las etiquetas web-browser xss javascript internet-explorer