Sto cercando di far funzionare XSS su un sito. Mi permette di modificare i CSS che sono poi inclusi nell'origine della pagina web, ma non mi consentirà di usare ", solo". La sorgente è così:
body {
margin: 0;
padding: 0;
background-color: #EFEFEF;
overflow: hidden;
font-family: Arial, Helvetica, sans-serif;
}
Non è possibile sfruttare XSS all'interno di CSS se "è bloccato.Grazie
Questa norma potrebbe impedire l'interruzione di un attributo doppio virgolettato style come in
<div style="payload goes here">
o se questo CSS è memorizzato in un DB potrebbe essere un filtro SQL Injection.
Per rispondere alla tua domanda, sì, puoi comunque attaccare il CSS stesso con virgolette singole
margin-left:expression('alert(1337)')
che funzionerà su IE7 e versioni precedenti o in alcune più recenti modalità IE e non ti impedirà di incorporare virgolette visibili a CSS come in
margin-left:expression('alert( pwned)')
Leggi altre domande sui tag xss