|
Título: xss desde atributos hidden Publicado por: Castg! en 12 Enero 2011, 04:30 am estoy muy mal de la memoria y no se si esto ya lo pregunte. tengo una web donde puedo cerrar la comilla del "value" en un input type=hidden. Osea:
Citar www.web.com/index.php?xx=2 Código
yo puedo hacer estas cosas: Citar www.web.com/index.php?xx=2" type=text Código
Citar www.web.com/index.php?xx=2"< Código
hay alguna forma a traves de algun atributo (onclick, onmouseover;logicamente para un hidden) de inyectar javascript? Título: Re: xss desde atributos hidden Publicado por: Shell Root en 12 Enero 2011, 04:48 am Pero, no entiendo. XD
Como le vas a dar click a un objeto invisible?. -no se si estoy diciendo lo correcto- Título: Re: xss desde atributos hidden Publicado por: Castg! en 12 Enero 2011, 04:50 am ...onclick, onmouseover;logicamente para un hidden) de ... esa es mi pregunta Título: Re: xss desde atributos hidden Publicado por: Shell Root en 12 Enero 2011, 04:53 am pero si haces la inyección de código JS como el básico... es decir,
Código Título: Re: xss desde atributos hidden Publicado por: Castg! en 12 Enero 2011, 04:54 am tomaste por lo menos 2 minutos de tu tiempo en leer mis ejemplos?
cuando inserto el caracter < me causa un internal server error, (cuando inserto un > no) Título: Re: xss desde atributos hidden Publicado por: Shell Root en 12 Enero 2011, 05:10 am No no lo leí... XD
El primer punto a tener en cuenta con el objeto hidden es que este es "invisible al usuario". El usuario no puede verlo y por lo tanto no puede interactuar con él. |