Что за запрос мне отправляют?

Question

Данил @Deletron247

PHP
XSS

Что за запрос мне отправляют?

Мне на сайт через формы запроса и через поиск по сайту отправляют такой запрос <script>alert(document.URL)</script> я понимаю что это xss атака но что она делает. Это точно делает не поисковой робот тк user agen обычного браузера chrome и поведение странное зашел отправил запросы и ушел с сайта что это за х***.

Вопрос задан более трёх лет назад
249 просмотров

12 комментариев

Подписаться 1 Простой 12 комментариев

Дмитрий @Compolomus Куратор тега PHP

Обычный шпон на дырки

Написано более трёх лет назад
FanatPHP @FanatPHP

это не атака, а проверка. уязвим твой сайт или нет.
если проверка пройдет то будут уже атаковать

Написано более трёх лет назад
Данил @Deletron247 Автор вопроса

FanatPHP, что вернет сайт если он уязвим?

Написано более трёх лет назад
FanatPHP @FanatPHP

то же самое

Написано более трёх лет назад
Данил @Deletron247 Автор вопроса

FanatPHP, все разобраля подключил функцию защиты от xss теперь она удаляет

Написано более трёх лет назад
FanatPHP @FanatPHP

чисто для справки: все "функции защиты от хсс" - это глупость и самообман
стыдно в таком возрасте верить в волшебные палочки, которой махнул, и всё сразу стало как надо

Написано более трёх лет назад
Данил @Deletron247 Автор вопроса

FanatPHP, почему js через get и post уже неполучится выполнить тк они обрезаются и запрос проходит но переделанный вот я отправляю в форму поиска точно такой же скрипт что в начале темы ион возвращяет мне уже [removed]alert(document.URL)[removed]

Написано более трёх лет назад
FanatPHP @FanatPHP

ну то есть у тебя функция, которая тупо заменяет </script> на [removed]?
боже, какой детский лепет
это именно то, про что я говорил: функция вырезает какую-то бессмысленную фигню, которая знакома её автору, и оставляет нетронутыми ещё примерно миллион вариантов

Написано более трёх лет назад
Данил @Deletron247 Автор вопроса

FanatPHP, хабр тоже кстати тоже подрезает такой текст но по своему, то есть найти на хабре через поиск <script>alert(document.URL)</script> неполучится

Написано более трёх лет назад
FanatPHP @FanatPHP

Хабр ничего не "подрезает"

Если бы подрезал, то в твоем вопросе вместо <script>alert(document.URL)</script> было бы такое же уродливое [removed]alert(document.URL)[removed]

Написано более трёх лет назад
Данил @Deletron247 Автор вопроса

FanatPHP, ну я же сказал что он делает это по своему на выходе у него получается текст scriptalertdocumentURLscript то-есть он удаляет все символы из запроса

Написано более трёх лет назад
FanatPHP @FanatPHP

если ты конкретно про поиск, то это совсем другое
тут дело вообще не в защите. а в том что поиск не ищет по тегам. и поэтому вырезает их из поискового запроса.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+1 ещё

Простой
Как из php передать ошибки в js?
- 1 подписчик
- 14 часов назад
- 145 просмотров
2

ответа
PHP

+2 ещё

Средний
Версии файлов на сайте отличаются от тех что я вижу через админку?
- 1 подписчик
- 19 часов назад
- 91 просмотр
1

ответ
PHP

+1 ещё

Простой
Регулярное выражение поиск по группам или нет?
- 1 подписчик
- 20 часов назад
- 100 просмотров
1

ответ
PHP

Простой
Как переделать код php, что бы отправлялись несколько файлов?
- 1 подписчик
- вчера
- 126 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Почему в консоли вылетатет ошибка unexpected character at line 1 column 1 of the JSON data, когда поля формы не заполнены?
- 1 подписчик
- вчера
- 128 просмотров
2

ответа
PHP

+1 ещё

Простой
Как связать таблицы по одному столбцу и посчитать сумму?
- 2 подписчика
- вчера
- 292 просмотра
2

ответа
PHP

+2 ещё

Простой
Как подружить html с json?
- 1 подписчик
- вчера
- 148 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему не выводит первую строку в select?
- 1 подписчик
- вчера
- 70 просмотров
1

ответ
PHP

+2 ещё

Простой
Как подключиться из PHP к memcached с использованием socket?
- 1 подписчик
- 14 апр.
- 80 просмотров
2

ответа
JavaScript

+2 ещё

Простой
WordPress. Как с помощью Ajax отсортировать посты по году и перерендерить постраничную пагинацию?
- 1 подписчик
- 13 апр.
- 82 просмотра
1

ответ
Показать ещё Загружается…

PHP разработчик

Living Core

от 120 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP-разработчик

M-Social Production • Брянск

от 70 000 ₽

Нужен кто сделает трафик в Тик Ток

16 апр. 2024, в 10:47

80000 руб./за проект

Сделать работу на R studio

16 апр. 2024, в 10:41

1000 руб./за проект

Написание проекта на микроконтроллер

16 апр. 2024, в 10:39

2000 руб./за проект

это не атака, а проверка. уязвим твой сайт или нет.
если проверка пройдет то будут уже атаковать
FanatPHP, что вернет сайт если он уязвим?
FanatPHP, все разобраля подключил функцию защиты от xss теперь она удаляет
чисто для справки: все "функции защиты от хсс" - это глупость и самообман
стыдно в таком возрасте верить в волшебные палочки, которой махнул, и всё сразу стало как надо
FanatPHP, почему js через get и post уже неполучится выполнить тк они обрезаются и запрос проходит но переделанный вот я отправляю в форму поиска точно такой же скрипт что в начале темы ион возвращяет мне уже [removed]alert(document.URL)[removed]
ну то есть у тебя функция, которая тупо заменяет </script> на [removed]?
боже, какой детский лепет
это именно то, про что я говорил: функция вырезает какую-то бессмысленную фигню, которая знакома её автору, и оставляет нетронутыми ещё примерно миллион вариантов
FanatPHP, хабр тоже кстати тоже подрезает такой текст но по своему, то есть найти на хабре через поиск <script>alert(document.URL)</script> неполучится
Хабр ничего не "подрезает"

Если бы подрезал, то в твоем вопросе вместо <script>alert(document.URL)</script> было бы такое же уродливое [removed]alert(document.URL)[removed]
FanatPHP, ну я же сказал что он делает это по своему на выходе у него получается текст scriptalertdocumentURLscript то-есть он удаляет все символы из запроса
если ты конкретно про поиск, то это совсем другое
тут дело вообще не в защите. а в том что поиск не ищет по тегам. и поэтому вырезает их из поискового запроса.

Answer 1 · 2021-04-06 09:45:26

prrrrrrr @prrrrrrr

Верстаю сразу на PHP.

здесь есть много инфы

Ответ написан более трёх лет назад

Комментировать

Что за запрос мне отправляют?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт