Hi,
ich möchte gerne eine XSS Lücke innerhalb einer Semesterarbeit praktisch erläutern und auch kurz vorstellen. Ich habe mir jetzt folgendes vorgestellt.
Habe mir jetzt einfach ein Formular geschrieben:
<html>
<head>
</head>
<body>
<form action="xss.php" method="get">
<p>Vorname:<br><input name="vorname" type="text"></p>
<input type="submit" value=" Absenden ">
</form>
</body>
</html>
Wenn ich jetzt mittels eines links
<a href="xss.php?vorname=<script>alert('Hallo Welt!');</script>">XSS</a>xss.php
drauf zu greife, möchte ich gerne das halt einfach ein alert fenster erscheint.
Das php Script sieht wie folgt aus
<?php
echo $_GET['vorname'];
?>
Es erfolgt aber keine Ausgabe, sondern die <> werden ausgefiltert mittels %c3
Habt ihr ne Idee wie es funktionieren könnte? Oder ne andere Idee für ein kleines XSS Beispiel?
Ich habe als Browser schon Firefox 1.0, 2.0, IE6,7 sowie Opera360 benutzt. Als Webserver wird Apache eingesetzt ohne irgendwelche Filterfunktionen.
Danke und Gruß
Malte
