Я тестирую атаки XSS-уязвимости в Android. Для этого я разработал веб-представление, где я загружаю html-файл, который содержит простую форму для ввода имени и электронной почты. Содержимое файла HTML являются:XSS - Выполнение Javascript с PHP
<html>
<body>
<form action="search.php" method="get">
Name: <input type="text" name="name"><br>
E-mail: <input type="text" name="email"><br>
<input type="submit">
</form>
</body>
</html>
Я отправить данные через получить к PHP-файл, который повторяет все, что написано в поле имени. Содержимое файла PHP являются:
<html>
<head>
<title> You searched for: </title>
</head>
<body>
<?php
echo $_GET['name'];
?>
</body>
</html>
Теперь мое намерение состоит в том, чтобы написать Javascript внутри имя поля , так что, когда я повторяю это, скрипт выполняется. Нормальные строки, переданные в поле имени, успешно повторяются, поэтому я знаю, что php-код действительно работает.
Работает на: Mozilla Firefox.
Не работает: Chrome, Android Emulator, Android реального устройства.
EDIT: Я пропустил вход. Я добавляю Javascript в поле . Таким образом, вход может быть простой скрипт, такие как:
<script language="Javascript">alert("Hello");</script>
Поскольку я не дезинфицировать вход, я ожидаю, что сценарий для выполнения. Вы можете обратиться к этому link за дополнительной информацией.
Но вывод представляет собой пустую страницу без вывода, что означает, что скрипт не выполняется.
Любые идеи?
Примечание: Я обеспокоен тем, что это не работает с эмулятором/устройством Android, поэтому, пожалуйста, не отвечайте за Chrome.
Не знаете, в чем ваш вопрос. Что вы проходите? Что вы ожидаете, и что на самом деле происходит? –
ну ваш вопрос непонятен. –
Мой ответ был для Chrome, но в целом вы можете проверить, что происходит с описанной мной техникой. Многие современные браузеры нашли отражение в методах предотвращения XSS, поэтому вы можете проверить, попали ли вы с помощью XSS-предупреждения, если регулярный HTML-рендеринг, в то время как javascript будет отклонен. – Gray