falso positivo XSS con noscript en el foro

Iniciado por T0rete, 26 Julio 2008, 23:43 PM

0 Miembros y 1 Visitante están viendo este tema.

T0rete

#10
No se a que te refieres con global pero es facilmente reproducible. En noscript permites elhacker.net. Puedes estar navegando por https o no. Abres una nuevas pestaña y pegas algo como http://foro.elhacker.net/who.html;start=0;sort=user (o simplemente pinchas en la direccion) y te saldrá el aviso.

Con XP+firefox3.0.1+noscript 1.7.7
Citar
[NoScript XSS] Depurada una petición sospechosa. URL original: [http://foro.elhacker.net/who.html;start=0;sort=user] solicitada desde: [chrome://browser/content/browser.xul]. URL depurada: [http://foro.elhacker.net/who.html;start%200;sort%20user#39657903570045094691].

Es una chorrada, pero aparece.