m
Да как так-то
Python 3.8.2
Ес что
Size: a a a
2020 May 30
᠌
А
Missing required argument ‘body’
Был бы запрос-ответ в консоли можно было бы дебажить, а так фиг определишь что не так
Был бы запрос-ответ в консоли можно было бы дебажить, а так фиг определишь что не так
m
Да понятно, что не так. Я в основном с сырым запросами работал, а url я только в самом начале дебажил.
᠌
Кстати, может есть кто хорошо знает js, как тут можно xss сделать?
href="{{input}}"
С условием что:
1.
2.
3.
Максимальное что смог достич это
href="{{input}}"
С условием что:
1.
& -> &2.
javascript: -> blocked;3.
javascript%25 -> blocked;Максимальное что смог достич это
javascript;alert(), но это не работает自
Кстати, может есть кто хорошо знает js, как тут можно xss сделать?
href="{{input}}"
С условием что:
1.
2.
3.
Максимальное что смог достич это
href="{{input}}"
С условием что:
1.
& -> &2.
javascript: -> blocked;3.
javascript%25 -> blocked;Максимальное что смог достич это
javascript;alert(), но это не работаетКавычку закрыть можешь?
᠌
Кстати, может есть кто хорошо знает js, как тут можно xss сделать?
href="{{input}}"
С условием что:
1.
2.
3.
Максимальное что смог достич это
href="{{input}}"
С условием что:
1.
& -> &2.
javascript: -> blocked;3.
javascript%25 -> blocked;Максимальное что смог достич это
javascript;alert(), но это не работает"javascript\: alert()" ещё работаетЭК
%00 может помочь, если href без http://|https:// то сделай так.
%00javascript:alert()
%00javascript%00:alert()
Или заэнкодь полностью javascript:alert() в html entities или url
%00javascript:alert()
%00javascript%00:alert()
Или заэнкодь полностью javascript:alert() в html entities или url
自
Тогда онклик можно прикруть
᠌
Кавычку закрыть можешь?
Нет конечно
ЭК
Тогда онклик можно прикруть
+, и при нажатии на кнопку будет вылазить попап.
᠌
%00 может помочь, если href без http://|https:// то сделай так.
%00javascript:alert()
%00javascript%00:alert()
Или заэнкодь полностью javascript:alert() в html entities или url
%00javascript:alert()
%00javascript%00:alert()
Или заэнкодь полностью javascript:alert() в html entities или url
Если % после javascript, то блочит
᠌
в html entities, как я уже сказал, не получается ибо & -> &
I
%00 может помочь, если href без http://|https:// то сделай так.
%00javascript:alert()
%00javascript%00:alert()
Или заэнкодь полностью javascript:alert() в html entities или url
%00javascript:alert()
%00javascript%00:alert()
Или заэнкодь полностью javascript:alert() в html entities или url
ты это сам придумал?
I
Почему просто хотя бы не проверить, а работает ли вообще то, что я только посоветовал?
<a href="%00javascript:alert()"> CLICKME</a>
<a href="%00javascript%00:alert()"> CLICKME</a>
ЭК
ты это сам придумал?
Не, вообще не обязательно чтобы не было http:/ https ибо браузер всеравно может это отрендерить увидев в заголовке javascript
᠌
javascript?:alert() ещё работаетЭК
Но ничего не вылазит, да?
᠌
Ну всмысле пропускает, но не срабатывает)
I
Не, вообще не обязательно чтобы не было http:/ https ибо браузер всеравно может это отрендерить увидев в заголовке javascript
создай у себя локальный файл и проверь лично