Sto cercando di inserire un carico utile XSS in un campo di input HTML nascosto. So che funziona con un tag script come sotto, ma sto cercando altre alternative.
<input type="hidden" name="date" value=""/> <script>alert('0');</script>" />
Ho trovato questo articolo , che dice che può essere fatto con l'attributo accesskey
:
Eventually I learned about XSS through access keys from above article and wondered if the onclick event would be called on the hidden input when it activated via an access key. From articles I learnt, we can execute an XSS payload inside a hidden attribute, provided you can persuade the victim into pressing the key combination. On Firefox Windows/Linux the key combination is ALT+SHIFT+X and on OS X it is CTRL+ALT+X..
A partire da ora so che funziona con qualche valore di attributo type, ad es.
<input type="text" accesskey="X" onclick="alert(1)">
Stavo provando con un campo nascosto:
<input type="hidden" accesskey="X" onclick="alert(1)">
Ma questo non funziona per me in diversi browser, supponendo che potrebbe essere stato gestito per i browser recenti, quindi ho anche provato con alcune versioni più basse come firefox 4, ma il lavoro si è risolto. Qualcuno può aiutare con questo?