falso positivo XSS con noscript en el foro

T0rete · 27 Julio 2008, 23:44 PM

No se a que te refieres con global pero es facilmente reproducible. En noscript permites elhacker.net. Puedes estar navegando por https o no. Abres una nuevas pestaña y pegas algo como http://foro.elhacker.net/who.html;start=0;sort=user (o simplemente pinchas en la direccion) y te saldrá el aviso.

Con XP+firefox3.0.1+noscript 1.7.7

Citar
[NoScript XSS] Depurada una petición sospechosa. URL original: [http://foro.elhacker.net/who.html;start=0;sort=user] solicitada desde: [chrome://browser/content/browser.xul]. URL depurada: [http://foro.elhacker.net/who.html;start%200;sort%20user#39657903570045094691].

Es una chorrada, pero aparece.

Test Foro de elhacker.net SMF 2.1

falso positivo XSS con noscript en el foro

T0rete