कुछ पुराने ब्राउज़र ऐसेXSS हमले का श्रेय
के रूप में XSS हमलों के लिए असुरक्षित आईई, एफएफ, क्रोम की<img src="javascript:alert('yo')" />
वर्तमान संस्करण नहीं हैं।
मैं उत्सुक हूँ अगर किसी भी ब्राउज़र एक समान हमले की चपेट में हैं:
<img src="somefile.js" />
या
<iframe src="somefile.js" />
या अन्य इसी तरह जहां somefile.js कुछ दुर्भावनापूर्ण स्क्रिप्ट में शामिल है।
सं छवि डेटा जावास्क्रिप्ट के रूप में कभी नहीं निष्पादित किया जाता है पा सकते हैं। यदि src एक जावास्क्रिप्ट लिंक है, तो जावास्क्रिप्ट निष्पादित किया गया है, लेकिन स्रोत के अनुरोध से आने वाले डेटा की मौलिक रीडिंग में जावास्क्रिप्ट शामिल नहीं है।
iframe के बारे में क्या? क्या उपरोक्त भी इसके लिए लागू होता है? – jmishra
नहीं, जावास्क्रिप्ट या तो निष्पादित नहीं किया गया है। –
सभी प्रमुख ब्राउज़र अभी भी इन हमलों के लिए कमजोर हैं। img टैग का उपयोग करने के तरीके के टोंस अभी भी चारों ओर हैं .. उदाहरण के लिए ...
<img src='#' onerror=alert(1) />
RSnake के XSS cheatsheet के लिए देखो, उन सिर्फ कुछ वैक्टर हैं। वैसे, मैंने सुना है कि वह जल्द ही अपने चीटशीट के एक नए संस्करण के साथ आ रहा है।
यहाँ आप कुछ XSS हमला वेक्टर http://ha.ckers.org/xss.html
ताजा लिंक [एक्सएसएस फ़िल्टर इवेशन धोखा शीट] (https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet) – mazenovi
"अपने लिए प्रयास करें और देखें" के बारे में कैसे? – Piskvor
मैंने आईई, एफएफ और क्रोम के आधुनिक संस्करणों के साथ किया था। कोई पुराना ब्राउज़र नहीं है इसलिए मैं पूछ रहा था। – Matthew