Вопрос про XSS

[radio]

Сканер нашел отраженную XSS ,предложил нагрузку вот такую

1" onmouseover=prompt(918429) bad="

на странице алерт вылетает,всё ок

Но как туда теперь вместо этого правильно вставить свой пэйлоад-скрипт ?

 

[Haunt]

В чем вопрос, я не пойму? В незнании js? Раз prompt выскакивает, значит активация происходит, когда загорается эвент onmouseover. Значит логично, что вместо вызова prompt, надо в качестве обработчика этого эвента повесить свою функцию, которая и будет полезной нагрузкой. Как это сделать = учить js. Это основы.

 

[DildoFagins]

В незнании js?

Другой вопрос, что сейчас можно сделать JSом? Посетителей сайта не заинфектишь без годного зиродея, а его 100 процентов у ТС нет. Разве что какие-нить данные с каких-то форм поиметь, или JS-майнер запустить.

 

[Haunt]

Другой вопрос, что сейчас можно сделать JSом? Посетителей сайта не заинфектишь без годного зиродея, а его 100 процентов у ТС нет. Разве что какие-нить данные с каких-то форм поиметь, или JS-майнер запустить.

Динамическая подмена контента, либо слив трафика редиректом. Дальше либо перепродажа трафика, либо слив на разводки. Самое полезное, что может быть..Данные с форм пиздить на каком то дырявом форуме/блоге? Что с этого поимеешь...