Quindi sto valutando un sito Web notoriamente sicuro per l'exploit XSS, ma ho notato qualcosa di interessante. Escludono le entità del numero HTML ( { ) ma non i tipi di lettera ( < ).
Con il tipo "lettera", analizza sul sito web e posso inserire <script> e tutto il resto, ma non viene eseguito.
Questo è il mio problema:
Sta leggendo l'input poi come una stringa e anche se fuggo lo span con </span> , non fa nulla.
Una visualizzazione di ciò di cui sto parlando è:
<span class="sanitizedtext">[INPUT HERE]</span>
Anche se utilizzo i tag, lo fa:
<span class="asdf"></span><script>[my code here]</script><span></span>
Anche se quanto sopra dovrebbe essere interrotto ed eseguito, non lo è. Si trova lì, anche se sta tornando sulla pagina.
TL; DR:
Ho trovato un modo per fare in modo che una pagina accetti <script> , ma rimane semplicemente lì perché viene letta come una stringa, non come un codice. (Anche se provo a sfuggire allo span / div / qualunque)
Scusa se non sono bravo con XSS. Grazie a tutti in anticipo!