Hi
habe heute mal versucht, selber eine XSS Attacke durch Parametermanipulation einer Textbox auszulösen. Also das typische
Das ganze natürlich nur, um besser zu wissen, wovon bei XSS die Rede ist.
Das hat nicht geklappt. Habe dann verschiedene Kodierungen aus RSnakes Cheat Sheet angetestet. Klappt auch nicht. Unkodiert wird meine Eingabe URL-encodiert. Kodiert wird es wieder in lesbaren Text umgewandelt oder etwas noch Kryptischeres, wobei keine Variante die alert-Box auf den Bildschirm zaubert.
Kann mir jemand sagen, was da jetzt noch nötig ist.
Meine Testseite sieht so aus.
In den URL schreibe ich dann sowas rein
habe heute mal versucht, selber eine XSS Attacke durch Parametermanipulation einer Textbox auszulösen. Also das typische
Code:
<script>alert('XSS');</script>
Das hat nicht geklappt. Habe dann verschiedene Kodierungen aus RSnakes Cheat Sheet angetestet. Klappt auch nicht. Unkodiert wird meine Eingabe URL-encodiert. Kodiert wird es wieder in lesbaren Text umgewandelt oder etwas noch Kryptischeres, wobei keine Variante die alert-Box auf den Bildschirm zaubert.
Kann mir jemand sagen, was da jetzt noch nötig ist.
Meine Testseite sieht so aus.
Code:
form action="xss.php" method="get" enctype="text/plain"> <div> <input type="text" value="'.$_GET['tx_test'].'" name="tx_test" /> <input type="submit" value="Senden" name="bt_send" /> </div> </form>
Code:
http://localhost/test/xss.php?tx_test=<script>alert('XSS');</script>&bt_send=Senden
Kommentar