XSS in textarea quando e non sono permessi?

3

Sto cercando di eseguire XSS sul punto di iniezione contrassegnato con XXXX qui:

<textarea name="billing[something]" id="billing-something" rows="1" 
type="phone" title="something" placeholder="something" cols="80">XXXX</textarea>        </div>

Posso riflettere qualsiasi input, eccetto < o > . Tutti i personaggi dopo quelli saranno rimossi. Posso eseguire qualsiasi tipo di XSS?

Esempio:

  • Se introduco XXXX>XXXX Otterrò XXXX
  • XXXX[[>]>/// Otterrò XXXX[[]
  • XXXX[[<]</// Otterrò XXXX[[

In altri posti in questa applicazione sono stato in grado di sfruttare input utilizzando payload come nsehe"onfocus="alert(1)"autofocus="e2c00 a causa di <input value=".. fallback.

    
posta Lucian Nitescu 20.04.2018 - 11:51
fonte

1 risposta

1

Ci sono molti altri modi in cui puoi usare XSS, ad esempio puoi convertire i caratteri nel loro esadecimale o in equivalenti ASCII, un esempio è qui:

%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%48%69%22%29%3b%3c%2f%73%63%72%69%70%74%3e

che è l'equivalente di una finestra di avviso che dice ciao

<script>alert("Hi");</script>

EDIT: questo blog può essere abbastanza utile per aggirare i filtri: link

    
risposta data 20.04.2018 - 17:31
fonte

Leggi altre domande sui tag