Cross Site Scripting

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von scriptkiddy, 20. September 2006 .

Schlagworte:
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 20. September 2006
    Hallo zusammen!
    Ich habe Gestern mal ein bisschen angefangen was über XSS/Cross Site Scripting zu lesen und will das nun mal an meiner Seite versuchen. Ich weiß, dass sie anfällig für sowas ist, da ich als CMS Webspell benutze(die Version weiß ich nimmer).

    So jetzt weiß ich auch, dass ich in der Datei "checklogin.php", der Variable "ws_user" JavaScript-Code injizieren kann.
    Das wollte ich anhand eines einfachen alerts machen, also:
    Code:
    <script>var test=1; alert(test);</script>
    
    (Frage nebenbei: Kann man irgendwie auch den Umweg über die Variable weglassen?)


    Jetzt wollte ich in einer HTML-Datei einen Link zur Datei checklogin.php machen, wobei ich dabei schon den Code eingefügt habe.
    Code:
    <a href="http://meine.seite/webspell/checklogin.php?ws_user=<script>var a=1; alert(a);</script>">link</a><br>
    
    Das klappt aber nicht. Muss ich das jetzt über ein PHP Script mit POST machen? Oder was?

    Dann wäre es aber doch sinnlos, da man ja seinem "Opfer" den Link schickt und dabei doch schon zB der Cookie gespeichert wird, und dann wird das Opfer zu dem "Cookiedieb" geschickt?!?
     

  2. Anzeige
  3. #2 5. Oktober 2006
    AW: Cross Site Scripting

    Kommt ganz auf den code der checklogin.php an, da wir den hier nichth abe kann ich dir auch nicht genau sagen wo du was wie einsetez nmuss, wobei es aber meistens so ist das die user eignabe nicht auf special chars geprüft werden und du mit einem "> den aktuellen tag schließen kannst und javascript code einfügen kannst.
    Wie wärs mal mit sowas wie server.com/checklogin.php?ws_user="><script>alert(document.cookie);</script>
    Ist aber nur geraten, ka wie der code aussieht kann auch komplett anders aussehen aber versuchs einfach mal
     

  4. Videos zum Thema
Die Seite wird geladen...
Similar Threads - Cross Site Scripting
  1. Antworten:
    2
    Aufrufe:
    414
  2. Antworten:
    7
    Aufrufe:
    729
  3. Antworten:
    1
    Aufrufe:
    401
  4. Cross Platform Mail Clients

    XXXLutz , 7. Dezember 2016 , im Forum: Anwendungssoftware
    Antworten:
    3
    Aufrufe:
    829
  5. Antworten:
    1
    Aufrufe:
    1.522