[Duda] Inyeccin en src de img (HTML)

Iniciado por Castg!, 1 Enero 2010, 01:26 AM

0 Miembros y 1 Visitante están viendo este tema.

Castg!

miren, estoy en un pryectito recontra chico, si anduvieron por el foro de php hace unas semansa, es de un cpanel de administracion bastante chotito, lo que uiqero es agregar una imagen avatar y lo que hace es en un texybox vos agregas la direccion de la imagen, despues de htmlentities y todo el chirimbolo, lo agrega en un "<img src=ladireccion>"ahora, yo pienso que si ahi se puede poner un .js para que me ejecute el codigo, eso me lo pueden hacer=? es posible ejecutar codigo arbitrario?

WHK

En internet explorer 5 si puedes vulnerar al explorador con esas cosas, incluso si das de dirección "javascript:alert(0);" pero firefox y las versiones actuales de los exploradores no te permiten eso asi que solamente se ejecutaría en exploradores antiguamente desastrozos como ie5.

Castg!

empece tarde en elhacking :S jajaj muchisimas gracias whk, un saludo grande y feliz año nuevo! ;-)

dimitrix

WHK, no entiendo y si la url es por ejemplo:

http:\\> <codigo maligno>

Da igual el navegador no¿?




Castg!

no, yo no digo xss, sino de inyectar una web ajena con codigo ahi si, maligno o no quien sabe... jejej eso que decis siempre tiene filtrops, jaja y te aparece:
Código (html4strict) [Seleccionar]
&gt;&gt;&lt;&lt;

dimitrix

Ah vale vale, entendí^^

EDITO: No siempre xD




sirdarckcat

es IE6 y lo de las javascript URIs tmbn funciona en Opera