Bypassare la codifica HTML [chiusa]

0

Sto testando un'applicazione web in cui il server accetta caratteri speciali come @#$* , ma quando inserisco virgolette doppie / singole, il codice HTML del server lo codifica.

("test">%3Cscript%3Ealert('XSS')%3C%2Fscript%3E")

è l'output dal server.

Come posso ignorare questa codifica HTML?

    
posta white hats 10.01.2017 - 05:54
fonte

1 risposta

2

Se vuoi sfruttare XSS, devi essere in grado di inserire HTML nella pagina. Se i caratteri < e > sono sfuggiti, non è possibile iniettare un tag. Se i caratteri " e ' vengono estratti, non è possibile iniettare un attributo. Quindi sembra che la pagina che stai testando sia al sicuro da XSS.

    
risposta data 10.01.2017 - 09:23
fonte

Leggi altre domande sui tag