XSS Pytanie

[Neston]

Witam Witam i od zdrowie pytam.. Dobra przejdzmy do rzeczy.
Dzisiaj w niedzielne popołudnie pomyślałem sobie że wzbogacę swoją wiedzę o zagadnienia ataków na strony www przez XSS.
Opierając się na tym opisie:
Podstawy XSS | HACK.pl - Hacking - Bezpieczeństwo sieci - IT - Security - Antywirus - Windows - Linux

Utworzyłem testową stronę : Prosta strona z błędem XSS! wszystko niby okej ale przy wpisaniu w okienku wyszukiwania treści:
<script language=”JavaScript”>alert(‘XSS’)</script>
Nie wyskakuje mi aplet z komunikatem tak jak miało to być.
Zresztą sami sprawdzcie na wyżej podanej stronie.
Proszę o cenne wskazówki z góry Dzięki

[lame]

Przeglądarka nie rozpoznaje znacznika:

Kod:

<script language=”javascript”>

Tzn rozpoznaje ale jako nieobsługiwany, bo nie wie co to za język:

Kod:

”javascript”

Dobrze obrazuje to InternetExplorer, gdzie w źródle strony widzimy:

Kod:

<script language=”JavaScript”>alert(‘XSS’)</script>

Taki sam efekt da napisanie na przykład:

Kod:

<script language=klingoński:-)>

Warto zauważyć że przeglądarka nie wyrzuca żadnego błędu..

pozdro600

P.S
Może to zależy od kodowania w jakim wyśle się forumlarz, nie wiem, nie znam się na tym

[Neston]

Ale mi w Internet Explorer też nie wyswietla komunikatu z apletu java.
Czyli co zrobić jak by ktoś mnie mógł dokładniej naprowadzić?

[lame]

Ale mi w Internet Explorer też nie wyswietla komunikatu z apletu java.

Tutaj nigdzie nie ma żadnego apletu java.
Za to jest środowisko Javascript przeglądarki i jej okno dialogowe (alert).

Czyli co zrobić jak by ktoś mnie mógł dokładniej naprowadzić?

Pokombinować.
Podpowiadam: problem leży w tych harpagańskich znakach cudzysłowia...