1. Zuhause
  2. Frage und Antwort
  3. & JavaScript enthält

& JavaScript enthält

2015-08-22 7 views
5

XSS-Filter Evasion des OWASP Cheat Sheet "& JavaScript enthält" erwähnt:& JavaScript enthält

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#.26_JavaScript_includes

Das Beispiel bietet es sich wie folgt:

<BR SIZE="&{alert('XSS')}">

ich es auf jsfiddle mit Chrome versucht und Firefox und ich bekomme kein JS-Popup. Also an welchen Browsern/Versionen soll das funktionieren?

Die URL:

http://jsfiddle.net/rL1z32xb/

Quelle

2015-08-22 neubert

+3

http://security.stackexchange.com/a/64926/56707 –

+3

Es gibt ein Q & A darüber auf einer anderen SE-Website - [XSS-Technik - & JavaScript Include] (http://security.stackexchange.com/questions/64925/xss-technik-javascript-include) –

Antwort

6

Sie benötigen 4 Ihre Kopie von Netscape zu brechen, um es zu reproduzieren.

Neuere Versionen von Netscape (und jedem anderen Browser) erlauben die Verwendung des & Operators nicht.

Quelle

2015-08-22 17:59:14

Verwandte Themen

 Verwandte Themen