Sono su un pentest per un cliente e hanno un'app personalizzata per rotaie che consente agli account admin di cambiare il contenuto della pagina. Mentre l'editor di front-end filtra i tag di script che il backend non fa, quindi usando Burp I puoi ottenere JS arbitrario nella pagina.
Sebbene l'XSS memorizzato sia un risultato delicato, volevo vedere se potevo cambiare la pagina in modi più significativi, ad esempio aggiungendo <%=
%>
tag per modificare il codice Ruby sottostante. Purtroppo qualsiasi input come quello è stato restituito codificato in HTML, il che significa che lo stanno filtrando. Non penso che sia un approccio di lista bianca perché consentiranno tag indesiderati come <s></s>
. Sembra che il filtro stia trovando rouge <
caratteri tutti da solo e qualsiasi tag con un carattere significativo, quindi <#
o <?
, ecc.
Qualcuno ha mai visto filtri come questi e conosce le tattiche di evasione?