[ big_B @ 28.03.2008. 21:39 ] @
Pokusavam nauciti nesto o XSS-u. Kao primjer sam na jedan free host uploadao php skriptu sadrzaja: <? $no = $_GET['no']; print( "$no" ); ?> Sripta uzima parametar «no» i ispisuje sadrzaj na stranicu. I ako u browser utipkam [url=http://www.host.com/stranica.php?no=<script>alert(]http://www.host.com/stranica.php?no=<script>alert([/url]"bla")</script> ili http://www.host.com/stranica.p...Ealert(%22bla%22)%3C/script%3E trebao bih vidjeti prozor sa natpisom «bla». No umjesto toga vidim samo praznu bijelu pozadinu, a source stranice izlgeda ovako: <script>alert(\"bla\")</script> Na kraju ispada da php u sve ulazne stringove ubacuje \ ispred svih navodnika, dvostrukih i jednostrukih. No kako se i imalo ozbiljnija skripta ne da napisati bez navodnika ovo predstavlja velik problem. I pitanje: kako da ubacim navodnike. |