He encontrado una pagina, no muy seria claro, en aspx con un cuadro de búsqueda en el que claramente se puede inyectar codigo, pero la duda llega en la URL, ya que la url siempre es la misma, ponga lo que ponga.
El final de la direccion siempre será /resultado.aspx pase lo que pase, entonces, creeis que s epodría hacer algo?
Examina el formulario de búsqueda y observa los campos (input) que éste tiene. El nombre de esos campos serán las variables que tendrás que enviar al
action del
form por el método (method) que tenga el formulario (POST o GET).
Para enviar datos por GET es fácil, tan solo tendras que ingresar la URL en la barra de direcciones, pero en caso de que solo admita POST, deberás crear un formulario, y al principio de éste introducir el siguiente fragmento de código:
Citar<META HTTP-EQUIV="Refresh" CONTENT="0; URL=javascript:document.forms[0].submit()">
Nada más cargar la página enviará el formulario...
Cita de: lipman_dj en 13 Julio 2007, 16:19 PM
He encontrado una pagina, no muy seria claro, en aspx con un cuadro de búsqueda en el que claramente se puede inyectar codigo, pero la duda llega en la URL, ya que la url siempre es la misma, ponga lo que ponga.
El final de la direccion siempre será /resultado.aspx pase lo que pase, entonces, creeis que s epodría hacer algo?
NO entiendo, si logras crear el XSS? , o estas buscando sobre la WEB algun tipo de bug para despues explotarla?
-berz3k.