Un attacco XSS funziona su Firefox ma non su Chrome ... Modifiche urgenti per farlo funzionare su Chrome

0

Sono in grado di iniettare questo:

http://domain.com/search/songs/<img src='alert(document.cookie)' onerror='alert(document.cookie)'>

alla pagina HTML.

L'evento onerror mi sta dando il cookie sul mio ultimo aggiornamento di Firefox.

Ma Chrome sta disinfettando l'HTML a questo:

<img src="alert(document.cookie)" onerror="">

Quando provo a iniettare il tag script, l'applicazione lo sta in qualche modo disinfettando.

Non so se dovrei condividere il sito web in cui ho trovato questa vulnerabilità qui.

Per favore suggeriscimi come farlo funzionare su Chrome.

    
posta Lakshay 12.07.2014 - 15:45
fonte

1 risposta

1

Di solito, la dimostrazione di un attacco con un singolo browser è sufficiente per un impegno di test di penetrazione, a meno che non si tratti di un ambiente in cui viene utilizzato solo Chrome o simili.

Detto questo, suppongo che questo sia un XSS riflesso, quindi probabilmente verrà catturato dall'auditor XSS di Chrome: link

    
risposta data 13.07.2014 - 07:57
fonte

Leggi altre domande sui tag