XSS Test's

S

slimox

Mitglied
Hallo zusammen,

Habe einige XSS Test auf meiner Site gemacht.

Code: 
Params strasse 
Payload: '%20onEvent=@REQUESTID@%20 
Result: comment: A significant portion of the XSS test payload appeared in the web page, but the page's DOM was not modified as expected for a successful exploit. This result should be manually verified to determine its accuracy. 
        v>
        </td> 
        <td><input class="inputTx saveJAsy" name="strasse" maxlength="250" value="\' onEvent=X3032882260Y5Z " id="strasse" type="text"  />
        </td> 
        </tr>  
Payload: '%20onEvent=@REQUESTID@%20 
Result: comment: A significant portion of the XSS test payload appeared in the web page, but the page's DOM was not modified as expected for a successful exploit. This result should be manually verified to determine its accuracy. 
        >
        </div>
        </td> 
        <td><input class="inputTx saveJAsy" name="ort" maxlength="250" value="\' onEvent=X142848524Y7Z " id="ort" type="text" />
        </td> </tr>
Wieso ist das Attribut value jetzt: nEvent=X142848524Y7Z woher kommt dise Nummer? :(

Für alle Antworten Dankbar!
 
Das ist kein PHP - Was ist es? Wohin soll ich es verschieben?

Und dein Wert sehe ich auf Zeile 14 geschrieben. von hier kommt er also
Code: 
... value="\' onEvent=X142848524Y7Z " ...
 
Doch es muss was mit PHP zu tun haben.

Das ist der Code vor dem XSS-Versuch
HTML: 
<input class="inputTx saveJAsy" name="strasse" maxlength="250" value="" id="strasse" type="text"  />

Nun füge ich diesen Code in das INPUT Feld:
Code: 
'%20onEvent=@REQUESTID@%20

Dann sende ich es per POST an den Server. Da lese ich die $_POST Werte aus. Ein htmlspecialchars() führe ich aus.

Lade ich die Seite neu, bestehende Daten werden via PHP in die INPUT's eingefügt sieht es so aus:
HTML: 
<input class="inputTx saveJAsy" name="strasse" maxlength="250" value="\' onEvent=X142848524Y7Z " id="strasse" type="text"  />

Wie kann aus @REQUESTID@ zu X142848524Y7Z werden****?
 
Zeig doch mal etwas von deinem PHP-Code. Ich sehe nur die Resultate (also HTML).
Also den PHP-Code wie du $_POST auswertest und wie du dein input-Tag in PHP zusammensetzt.
 
Ich nutze das MVC Codeigniter (2.1.1). Da werden alle Daten via $this->input->post('strasse'); aufgerufen. Sie sollten bereits XSS Clean sein.

Die ausgabe ist per Template... Wie kann ein STRING auf meinem SERVER etwas ausführen?! Wenn ich bei Google nach @REQUESTID@ suche finde ich nichts..?!
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück