XSS Injection invalidate il tag meta reindirizzamento

4

Quando si inserisce nella parte url di un reindirizzamento META HTML come questo:

<meta http-equiv='refresh' content='0;URL=$URL'

dove $ URL (annota le virgolette mancanti) è la parte che posso iniettare, esiste un modo per invalidare il meta tag in modo che non venga reindirizzato immediatamente e invece esegua il JS iniettato? Ho già provato a iniettare nuovamente l'attributo di contenuto con un tempo di reindirizzamento diverso, ma almeno per Chrome non funziona.

    
posta Stefan 04.11.2015 - 00:22
fonte

1 risposta

2

Sembra che usi qualcosa come: javascript:alert(1); come URL, quindi chiudendo il meta tag e aprendo un nuovo tag script per l'XSS funziona.

    
risposta data 04.11.2015 - 00:32
fonte

Leggi altre domande sui tag