Salve a tutti, sono nuovo e piuttosto disperato.
Mi sto affacciando all'hacking per merito di un lavoro di tesi, ma non riesco nell'impresa di creare qualche xss neanche su un "mio" sito di prova!!
Vi lascio il link di un sito di una chat in asp e ajax. (
Mi basterebbe che funzionasse anche la più insignificante istruzione xss (<script>alert("XSS")</script>)
Il primo campo per l'inserimento dell'utente è vulnerabile, ma i messaggi della chat mi sembra di no!
Ho già cambiato l'istruzione all'interno di messaggio.asp: "messaggio = Server.HTMLEncode(Request.Form("messaggio"))" in "messaggio = Request.Form("messaggio")", e sul database ora viene memorizzato il messaggio inserito senza manomissioni.
Ma quando i messaggi dal database vengono visualizzati a video, compaiono innanzitutto come una riga bianca (non vengono visualizzati affatto) ma non emettono l'effetto sperato (alert, ecc...)
C'e' di più, perchè se invece di eseguire default.asp che richiama poi chat.asp, eseguo direttamente ajax.asp allora alla visualizzazione degli stessi messaggi di prima, gli "effetti" (alert, ecc..) si vedono!!!
Qualcuno sa spiegarmi il motivo?
Ringrazio anticipatamente chiunque volesse darmi una mano! il sito di per se è semplicissimo da capire!!!
Mi sto affacciando all'hacking per merito di un lavoro di tesi, ma non riesco nell'impresa di creare qualche xss neanche su un "mio" sito di prova!!
Vi lascio il link di un sito di una chat in asp e ajax. (
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
)Mi basterebbe che funzionasse anche la più insignificante istruzione xss (<script>alert("XSS")</script>)
Il primo campo per l'inserimento dell'utente è vulnerabile, ma i messaggi della chat mi sembra di no!
Ho già cambiato l'istruzione all'interno di messaggio.asp: "messaggio = Server.HTMLEncode(Request.Form("messaggio"))" in "messaggio = Request.Form("messaggio")", e sul database ora viene memorizzato il messaggio inserito senza manomissioni.
Ma quando i messaggi dal database vengono visualizzati a video, compaiono innanzitutto come una riga bianca (non vengono visualizzati affatto) ma non emettono l'effetto sperato (alert, ecc...)
C'e' di più, perchè se invece di eseguire default.asp che richiama poi chat.asp, eseguo direttamente ajax.asp allora alla visualizzazione degli stessi messaggi di prima, gli "effetti" (alert, ecc..) si vedono!!!
Qualcuno sa spiegarmi il motivo?
Ringrazio anticipatamente chiunque volesse darmi una mano! il sito di per se è semplicissimo da capire!!!