Что за запрос мне отправляют?

Question

Данил @Deletron247

PHP
XSS

Что за запрос мне отправляют?

Мне на сайт через формы запроса и через поиск по сайту отправляют такой запрос <script>alert(document.URL)</script> я понимаю что это xss атака но что она делает. Это точно делает не поисковой робот тк user agen обычного браузера chrome и поведение странное зашел отправил запросы и ушел с сайта что это за х***.

Вопрос задан более трёх лет назад
254 просмотра

12 комментариев

Подписаться 1 Простой 12 комментариев

Дмитрий @Compolomus Куратор тега PHP

Обычный шпон на дырки

Написано более трёх лет назад
FanatPHP @FanatPHP

это не атака, а проверка. уязвим твой сайт или нет.
если проверка пройдет то будут уже атаковать

Написано более трёх лет назад
Данил @Deletron247 Автор вопроса

FanatPHP, что вернет сайт если он уязвим?

Написано более трёх лет назад
FanatPHP @FanatPHP

то же самое

Написано более трёх лет назад
Данил @Deletron247 Автор вопроса

FanatPHP, все разобраля подключил функцию защиты от xss теперь она удаляет

Написано более трёх лет назад
FanatPHP @FanatPHP

чисто для справки: все "функции защиты от хсс" - это глупость и самообман
стыдно в таком возрасте верить в волшебные палочки, которой махнул, и всё сразу стало как надо

Написано более трёх лет назад
Данил @Deletron247 Автор вопроса

FanatPHP, почему js через get и post уже неполучится выполнить тк они обрезаются и запрос проходит но переделанный вот я отправляю в форму поиска точно такой же скрипт что в начале темы ион возвращяет мне уже [removed]alert(document.URL)[removed]

Написано более трёх лет назад
FanatPHP @FanatPHP

ну то есть у тебя функция, которая тупо заменяет </script> на [removed]?
боже, какой детский лепет
это именно то, про что я говорил: функция вырезает какую-то бессмысленную фигню, которая знакома её автору, и оставляет нетронутыми ещё примерно миллион вариантов

Написано более трёх лет назад
Данил @Deletron247 Автор вопроса

FanatPHP, хабр тоже кстати тоже подрезает такой текст но по своему, то есть найти на хабре через поиск <script>alert(document.URL)</script> неполучится

Написано более трёх лет назад
FanatPHP @FanatPHP

Хабр ничего не "подрезает"

Если бы подрезал, то в твоем вопросе вместо <script>alert(document.URL)</script> было бы такое же уродливое [removed]alert(document.URL)[removed]

Написано более трёх лет назад
Данил @Deletron247 Автор вопроса

FanatPHP, ну я же сказал что он делает это по своему на выходе у него получается текст scriptalertdocumentURLscript то-есть он удаляет все символы из запроса

Написано более трёх лет назад
FanatPHP @FanatPHP

если ты конкретно про поиск, то это совсем другое
тут дело вообще не в защите. а в том что поиск не ищет по тегам. и поэтому вырезает их из поискового запроса.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

+1 ещё

Простой
Как передать имя таблицы как параметр?
- 1 подписчик
- вчера
- 98 просмотров
5

ответов
PHP

+1 ещё

Простой
Не работает событие телеграм бота, как запустить его?
- 1 подписчик
- вчера
- 73 просмотра
0

ответов
PHP

Средний
Обнаружилась на сайте активная РНР сессия, как и где найти функцию session_write_close()?
- 1 подписчик
- вчера
- 72 просмотра
0

ответов
PHP

+1 ещё

Простой
Как написать правило в nginx чтобы адрес типа localhost:8099/home/index/alex попадал в GET['url'] параметр?
- 1 подписчик
- 26 нояб.
- 67 просмотров
1

ответ
PHP

Средний
Как сформировать список по вложенному массиву рекурсивной функцией?
- 1 подписчик
- 26 нояб.
- 113 просмотров
3

ответа
PHP

Средний
Как указать тип возвращаемого значения абстрактного метода, если он должен возвращать объект класса унаследованного от другой абастракции?
- 1 подписчик
- 26 нояб.
- 96 просмотров
2

ответа
PHP

Простой
Как узнать из-за чего прерывается фоновый процесс запущенный через exec?
- 1 подписчик
- 26 нояб.
- 85 просмотров
2

ответа
PHP

+1 ещё

Средний
Как спарсить этот текст с помощью simplehtmldom?
- 1 подписчик
- 26 нояб.
- 63 просмотра
1

ответ
PHP

Простой
Как правильно вывести ошибки регистрации?
- 2 подписчика
- 25 нояб.
- 168 просмотров
1

ответ
PHP

+1 ещё

Простой
Как обновить PHP на сайте?
- 1 подписчик
- 23 нояб.
- 737 просмотров
2

ответа
Показать ещё Загружается…

PHP-разработчик

Decart IT-production

от 260 000 до 340 000 ₽

Backend-разработчик PHP

Wanted. • Москва

До 160 000 ₽

PHP-разработчик

Wanted.

До 200 000 ₽

Настройка целей для фиксации в Яндекс Метрике

28 нояб. 2024, в 21:25

5000 руб./за проект

Разработка приложения VPN

28 нояб. 2024, в 18:46

3000 руб./за проект

Разработка Телеграм Бота

28 нояб. 2024, в 17:46

10000 руб./за проект

это не атака, а проверка. уязвим твой сайт или нет.
если проверка пройдет то будут уже атаковать
FanatPHP, что вернет сайт если он уязвим?
FanatPHP, все разобраля подключил функцию защиты от xss теперь она удаляет
чисто для справки: все "функции защиты от хсс" - это глупость и самообман
стыдно в таком возрасте верить в волшебные палочки, которой махнул, и всё сразу стало как надо
FanatPHP, почему js через get и post уже неполучится выполнить тк они обрезаются и запрос проходит но переделанный вот я отправляю в форму поиска точно такой же скрипт что в начале темы ион возвращяет мне уже [removed]alert(document.URL)[removed]
ну то есть у тебя функция, которая тупо заменяет </script> на [removed]?
боже, какой детский лепет
это именно то, про что я говорил: функция вырезает какую-то бессмысленную фигню, которая знакома её автору, и оставляет нетронутыми ещё примерно миллион вариантов
FanatPHP, хабр тоже кстати тоже подрезает такой текст но по своему, то есть найти на хабре через поиск <script>alert(document.URL)</script> неполучится
Хабр ничего не "подрезает"

Если бы подрезал, то в твоем вопросе вместо <script>alert(document.URL)</script> было бы такое же уродливое [removed]alert(document.URL)[removed]
FanatPHP, ну я же сказал что он делает это по своему на выходе у него получается текст scriptalertdocumentURLscript то-есть он удаляет все символы из запроса
если ты конкретно про поиск, то это совсем другое
тут дело вообще не в защите. а в том что поиск не ищет по тегам. и поэтому вырезает их из поискового запроса.

Answer 1 · 2021-04-06 09:45:26

prrrrrrr @prrrrrrr

Верстаю сразу на PHP.

здесь есть много инфы

Ответ написан более трёх лет назад

Комментировать

Что за запрос мне отправляют?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт