xss desde atributos hidden

Castg! · 12 Enero 2011, 04:30 AM

estoy muy mal de la memoria y no se si esto ya lo pregunte. tengo una web donde puedo cerrar la comilla del "value" en un input type=hidden. Osea:

Citarwww.web.com/index.php?xx=2

Código (html4strict) [Seleccionar]

<input type=hidden name=xx value="2">

yo puedo hacer estas cosas:

Citarwww.web.com/index.php?xx=2" type=text

Código (html4strict) [Seleccionar]

<input type=hidden name=xx value="2" type=text"> aunque no tiene sentido

Citarwww.web.com/index.php?xx=2"<

Código (html4strict) [Seleccionar]

Internal Server Error 500

hay alguna forma a traves de algun atributo (onclick, onmouseover;logicamente para un hidden) de inyectar javascript?

Shell Root · 12 Enero 2011, 04:48 AM

Pero, no entiendo. XD

Como le vas a dar click a un objeto invisible?. -no se si estoy diciendo lo correcto-

Castg! · 12 Enero 2011, 04:50 AM

Cita de: Castg! en 12 Enero 2011, 04:30 AM...onclick, onmouseover;logicamente para un hidden) de ...

esa es mi pregunta

Shell Root · 12 Enero 2011, 04:53 AM

pero si haces la inyección de código JS como el básico... es decir,

Código (html4strict) [Seleccionar]

"><script>alert();</script>

Castg! · 12 Enero 2011, 04:54 AM

tomaste por lo menos 2 minutos de tu tiempo en leer mis ejemplos?
cuando inserto el caracter < me causa un internal server error, (cuando inserto un > no)

Shell Root · 12 Enero 2011, 05:10 AM

No no lo leí... XD

El primer punto a tener en cuenta con el objeto hidden es que este es "invisible al usuario". El usuario no puede verlo y por lo tanto no puede interactuar con él.

Test Foro de elhacker.net SMF 2.1

xss desde atributos hidden

Castg!

Shell Root

Castg!

Shell Root

Castg!

Shell Root