Costruisco un piccolo sito Web per scopi di test di penetrazione utilizzando il framework Google Webtool Kit
.
Tuttavia, ero in grado di rendere l'applicazione vulnerabile a xss usando il seguente codice:
final HTML xssWidget = new HTML();
xssButton.addClickHandler(new ClickHandler() {
@Override
public void onClick(ClickEvent event) {
xssWidget.setHTML(xssTextField.getText());
}
});
Come puoi vedere, sto utilizzando un widget HTML per visualizzare le informazioni di input direttamente nell'interfaccia utente. Quando l'utente inserisce del testo in un campo di testo, verrà visualizzato immediatamente dopo aver fatto clic su un pulsante.
Fin qui tutto bene .. Il problema è che non posso usare la suite di burp per registrare la richiesta che ho inviato e usarla come una richiesta di base per l'intruso o il ripetitore. Cliccando su quel pulsante è "tecnicamente" non visto in Burp, perché non è diretto al server (nessuna interazione).
Qualcuno può darmi un consiglio? I migliori saluti, Nazar