Prima di tutto non so se questa domanda sia già menzionata qui, credetemi cerco già.
quindi stavo cercando di rompere la stringa all'interno di virgolette singole e doppie di attr sotto;
onclick="window.location='{$url4stat}en'"
ora diciamo che gli URL webapps come link
sono stato in grado di iniettare parametri casuali dopo il percorso / index / che è / index /? rand = 123 ed è stato incluso in risposta boby tale; onclick="window.location='/index/?rand=123&stat=en'"
quindi penso che potrebbe funzionare in qualche modo inserire una virgola doppia " e vedere se il corpo del rispondere in HTML si rompe. si scopre che viene codificato %22 onclick="window.location='/index/?rand=%22&stat=en in modo che il carico utile lazy "><script>alert(1)</script> sia inutile (ho provato)
Ma, usando Burpsuite, sono stato in grado di modificare la richiesta codificata prima di essere inviata al server web, quando apri il corpo della risposta nel browser l'avviso è appena pop! questo significa che è soggetto all'XSS? se è così, la mia domanda è possibile aggirare questo? Ho già provato la doppia codifica, usando hex,% 23x e molti altri payload ma niente funziona. risulta che il payload della doppia codifica rimarrà, se metto %2522 il corpo di risposta diventa onclick="window.location='/index/?rand=%2522&stat=en nulla cambia, lo stesso con altri payload. sembra che solo pochi caratteri come ", ', >, <, saranno codificati. se mi sono imbattuto in IE Browser, i payload funzionano. solo Chrome, FF, non ho ancora provato su Opera e Safari.
Apprezzerà qualsiasi suggerimento, tecnica, carico utile.