XSS in textarea quando e non sono permessi?

Naviga le tue risposte
3

Sto cercando di eseguire XSS sul punto di iniezione contrassegnato con XXXX qui: 

<textarea name="billing[something]" id="billing-something" rows="1" 
type="phone" title="something" placeholder="something" cols="80">XXXX</textarea>        </div>

Posso riflettere qualsiasi input, eccetto < o > . Tutti i personaggi dopo quelli saranno rimossi. Posso eseguire qualsiasi tipo di XSS?

Esempio:

  • Se introduco XXXX>XXXX Otterrò XXXX
  • XXXX[[>]>/// Otterrò XXXX[[]
  • XXXX[[<]</// Otterrò XXXX[[

In altri posti in questa applicazione sono stato in grado di sfruttare input utilizzando payload come nsehe"onfocus="alert(1)"autofocus="e2c00 a causa di <input value=".. fallback.

    
posta Lucian Nitescu 20.04.2018 - 11:51
fonte

1 risposta

1

Ci sono molti altri modi in cui puoi usare XSS, ad esempio puoi convertire i caratteri nel loro esadecimale o in equivalenti ASCII, un esempio è qui: 

%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%48%69%22%29%3b%3c%2f%73%63%72%69%70%74%3e

che è l'equivalente di una finestra di avviso che dice ciao 

<script>alert("Hi");</script>

EDIT: questo blog può essere abbastanza utile per aggirare i filtri: link

    
risposta data 20.04.2018 - 17:31
fonte

Leggi altre domande sui tag

Impila l'intervallo di posizione su linux per il processo dell'utente Archiviazione sicura di credenziali / informazioni dell'account per servizi aziendali critici: il fattore bus