Sto cercando di realizzare un blog fittizio con un modulo con un input TEXTAREA
su una pagina.
Quando il modulo viene inviato, i contenuti del modulo vengono visualizzati in una seconda pagina.
Tuttavia, la seconda pagina che riceve l'input POST, la filtra per sostituire "
, <
, >
e &
con "
, <
, >
e &
.
Anche la seconda pagina ha un:
<meta http-equiv="content-type" content="text/html; charset=utf-8" />
Ho usato Fiddler per intercettare il POST dalla prima pagina e modificato l'intestazione della richiesta da
Content-Type: application/x-www-form-urlencoded
a:
Content-Type: application/x-www-form-urlencoded; charset=UTF-7
E cambiato il contenuto POSTed in:
+ADw-/font+AD4APA-script+AD4-alert(document.cookie)+ADw-/script+AD4
Sperando che decodifichi a:
</font><script>alert(document.cookie)</script>
Tuttavia, non ha fatto nulla e il testo è apparso così com'è. Inoltre, la codifica del testo della seconda pagina è stata riconosciuta come UTF-8. Immagino sia perché ha un meta tag nel suo HTML con il set di caratteri impostato su UTF-8.
Voglio sapere se c'è un modo in cui questa pagina può essere sfruttata tramite XSS e se esiste, quale sarebbe il vettore di input?