Esegui il carico utile XSS dopo l'errore di sintassi nel tag dello script?

Naviga le tue risposte
0

Recentemente, durante un controllo di sicurezza, ho trovato una pagina in cui alcuni parametri URL sono riflessi all'interno di un tag <script> . Potrebbe essere un semplice XSS, ma una linea prima del riflesso contiene un errore di sintassi (ad es. Stringa senza virgolette).

È possibile far funzionare il codice JavaScript nonostante un errore di sintassi su una o più righe sopra di esso?

    
posta Gari BN 22.05.2018 - 23:18
fonte

1 risposta

2

Se c'è un errore di sintassi all'interno di un tag script, non verrà eseguito alcun codice nel blocco, né sopra né sotto di esso. Quindi, per far funzionare un po 'di codice, hai due opzioni:

  • Correggi l'errore di sintassi utilizzando il codice che stai iniettando. A seconda del tipo di errore, questo può o potrebbe non essere possibile. Per esempio. chiudendo una citazione due suoni su righe impossibili, ma le parentesi di bilanciamento dovrebbero essere fattibili.
  • Terminare il tag dello script con l'errore di sintassi e avviarne uno nuovo pulito. Se non è presente alcun filtro, è possibile iniettare per es. <script>alert("XSS");</script><script> -
risposta data 22.05.2018 - 23:45
fonte

Leggi altre domande sui tag

Qual è la differenza tra PGP e crittografia asimmetrica? bypass data limit [chiuso]