AS
все из перечисленных сервисов нужно поднимать локально насколько я вижу, у меня нет времени на это сейчас, а хсс хантер упал как ни кстати(
поставь ezxss
Size: a a a
2020 March 28
AS
ставится ряльно в два клика, и нет головной боли как с хссхантером
WS
Переслано от Web Security
Почему в DOM < > превращаются в html entities и вообще почему XSS не работает?
WS
I
что значит "превращаются" ?
Может они всегда были в закодированном виде?)
Может они всегда были в закодированном виде?)
I
если ты в девтулзах смотришь на содержимое DOM, то там тебе сперва показывается преобразованное значение (а не фактическое)
I
I
потом когда кликаешь на F2(edit as html), тебе покажут правду
B
Ctrl+u
WS
1 скрин - Inspect element -> Edit as HTML, видим html entities в DOM
2 скрин - Бурп (=source code), в соурсах нормальные человеческие тэги <>
2 скрин - Бурп (=source code), в соурсах нормальные человеческие тэги <>
ᅠ
Ctrl+u
Во нихера себе бум ты что вурусняк поймал в ник найме?!
BF
У Бума уникальная эмодзи в нике, которую кроме как ктрл ц ктрл в себе не заполучишь
n
Пойдем лучше машинки в HTB ковырять 🥴
Пойдём просто машина ковырять
WS
1 скрин - Inspect element -> Edit as HTML, видим html entities в DOM
2 скрин - Бурп (=source code), в соурсах нормальные человеческие тэги <>
2 скрин - Бурп (=source code), в соурсах нормальные человеческие тэги <>
Объясните, почему
<% contenteditable onfocus=alert(1)> из source code (ctrl+u) превращается в <% contenteditable onfocus=alert(1)> в DOM (F12, Inspect element)?n
🦠
WS
Что отображается в source code (ctrl+u) в твоём случае?
SB
Объясните, почему
<% contenteditable onfocus=alert(1)> из source code (ctrl+u) превращается в <% contenteditable onfocus=alert(1)> в DOM (F12, Inspect element)?Потому что невалидный тег
I
Что отображается в source code (ctrl+u) в твоём случае?
I
но я думаю Бум пошутил про ctrl+U, ибо это не итоговый ДОМ. ты там можешь легко не увидеть половину сайта
WS
но я думаю Бум пошутил про ctrl+U, ибо это не итоговый ДОМ. ты там можешь легко не увидеть половину сайта
Это понятно