intentando xss un sitio [cerrado]

Navega tus respuestas
0
http://XXX/?subscribe_message=%3Cscript%3Ealert(/zzz/);%3C/script%3E

¿Por qué no aparece esa ventana emergente con / zzz / alert? Cuando hago javascript:alert(/zzz/); en la barra de direcciones, ¿por qué no cuando lo hago a través de la URL? Un vistazo al código fuente me hace pensar que debería / debería funcionar ...

    
pregunta stilver 04.07.2014 - 08:50
fuente

2 respuestas

3

Algunos navegadores como Chrome tienen características anti-XSS que bloquean ataques obvios. Si abre la consola de JavaScript de su navegador, debería ver las advertencias.

Desactive la protección temporalmente o use un navegador diferente.

    
respondido por el Fleche 04.07.2014 - 11:45
fuente
0

Cuando necesito probar un sitio web en particular para verificar las vulnerabilidades xss, uso este complemento de Firefox: enlace

Te da una buena primera impresión de las posibles vulnerabilidades que existen. Se recomienda estudiar sobre JS y XSS en particular. No vayas por un enfoque de scriptkiddie :)

    
respondido por el 4oxer 04.07.2014 - 10:57
fuente

Lea otras preguntas en las etiquetas

Un enfoque de no inicio de sesión para autenticar un dispositivo determinado, ¿la dirección MAC como contraseña? ¿Cuál es el punto de hospedar la base de datos externamente?