Задать вопрос
@User258
Программист

Это уязвимость?

Читал про xcc уязвимости и решил найти сайт с этой уязвимостью и кажется нашел писать что за сайт не хочу но опишу что происходит и какие есть вопросы . Есть два поля одно для поиска другое для выбора: всех слов ,фразы или любого слова в общем выпадающий список .В поле поиска если написать просто слово то между двумя формами ничего не будет а если вставить"><script>alert()</script>
то между ними появиться
alert()" class="text-input" />
. Подскажите это уязвимость , если нужно сделать какие то манипуляции для дополнительной информации напишите .И какие могут быть последствия такой уязвимости ?
изображение того что происходит 989276f8fe1e4b1cb2f869767f06ed4e.png
  • Вопрос задан
  • 253 просмотра
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
нет... это говнокод....
чем type=text не угодил?!
Ответ написан
Комментировать
Да, скорей всего это можно раскрутить до XSS, попробуй вектор типа
" onmouseover="alert()" b="
Ответ написан
Комментировать
Dit81
@Dit81
Security researcher, pentester, internet-marketer
Да, это XSS и можно исполнять почти любой (Если фильтры все же есть) JavaScript код в браузере клиента... Нет фильтра на кавычки и они не преобразовываются в html-код. Можно попробовать разное:
"onfocus=prompt(/OPENBUGBOUNTY/) autofocus= />
"onmouseover=confirm(/OPENBUGBOUNTY/)
"onload=prompt(/XSSPOSED/)

Для защиты нужно бы использовать функции PHP:
strip_tags() – удаляет из строки все HTML-теги, кроме разрешённых.
htmlspecialchars() – заменяет все спецсимволы на их HTML-аналоги.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы