Esiste un vettore XSS per i campi di input nascosti senza utilizzare la chiave di accesso HTML?

Naviga le tue risposte
2

Ho alcuni casi di cross-site scripting (XSS) in campi di input HTML nascosti. Esistono alcuni vettori XSS noti che possono essere utilizzati, ad esempio, utilizzando la chiave di accesso HTML.

XSS in hidden inputs is frequently very difficult to exploit because typical JavaScript events like onmouseover and onfocus can't be triggered due to the element being invisible. Source: http://blog.portswigger.net/2015/11/xss-in-hidden-input-fields.html

Ma l'uso di un cosiddetto accesskey richiede un'interazione utente elevata. C'è un altro modo per iniettare il codice qui e farlo eseguire senza pressioni di tasti o una forma più lieve di interazione dell'utente?

Nel mio caso corrente i tre caratteri ()> sono filtrati.

Ho bisogno di un vettore XSS che possa essere iniettato in questa posizione: 

<input type="hidden" name="[INJECTION]" />

Un altro riferimento al trucco XSS della chiave di accesso può essere trovato qui: link

    
posta Abdullah Hussam 04.03.2016 - 11:53
fonte

1 risposta

1

A meno che non si possa iniettare per modificare il tipo (ad esempio text ), non esiste un vettore noto che attivi XSS all'interno di un campo di input nascosto senza ulteriore interazione dell'utente.

es. Con 

<input name="[INJECTION]" type="hidden" />

Potresti iniettare 

" type="text" onfocus="alert&#x28;'xss'&#x29;" autofocus="1

per il rendering 

<input name="" type="text" onfocus="alert&#x28;'xss'&#x29;" autofocus="1" type="hidden" />

Tuttavia, a meno che tu non possa entrare prima del già impostato type="hidden" o chiudere il tag e avviarne uno nuovo (che non puoi nel tuo caso a causa del > filtrato), sei snookerto.

    
risposta data 04.03.2016 - 15:19
fonte

Leggi altre domande sui tag

Come ottenere l'autenticazione utilizzando la crittografia simmetrica CSRF nelle chiamate API da Javascript sul browser