Quindi ho fatto un esercizio di squadra rossa e un'app interna riecheggia Cannot find /whatever/your/path
. Poiché non si tratta di un server Web PHP o addirittura di funzionalità complete, non esiste una decodifica automatica magica, quindi se invii /%00%0d%25/stuff
otterrai Cannot find /%00%0d%25/stuff
Il problema è che ogni singolo browser nella cronologia recente codifica automaticamente <
o >
o è abbastanza intelligente da non rendere la pagina non HTML (poiché non ci sono tag HTML che interpreta la stringa in un contesto renderizzabile) come HTML. Ho testato ogni browser che attualmente abbiamo in funzione e nessuno ha generato una condizione XSS perché hanno codificato correttamente l'URL e tutti i parametri o sono sfuggiti al documento non HTML in modo che possa essere visualizzato come in chiaro.
Ho ragione di presumere che, a meno che non sia combinato con un'altra vulnerabilità molto più significativa, questo non è utilizzabile a meno che tu non stia eseguendo Netscape 1.0 o altri browser ugualmente poveri (e non approvati)?