It seems unlikely that all of these companies are properly sanitizing characters and after doing some research I think this could happening because of XSS auditors in Chrome/Firefox?
L'auditor XSS di Chrome in realtà non rende il carico utile innocuo, genera un avviso che impedisce all'utente di accedere alla pagina.
Secontrolliilcodicesorgentequandoriceviunavviso,dovrestivederecheilcaricoutileXSSèevidenziatocomemostratonell'esempiosotto.
Dall'esperienzapersonaleconlapartecipazioneel'esecuzionediprogrammidibugbug,normalmentenonènecessariodimostrareunbypassauditorXSSaffinchéilreportsiavalido.Secondome,nonèunabuonaideaaffidarsiall'auditordelbrowser,soprattuttoperchénontuttiibrowsersonodotatidiunauditorXSS(adesempioFirefox)evengonosempretrovatinuovibypass.
AmIcorrectthatinsomecasesthewebsiteisn'tencodingmyXSSpayloadandthattheauditorsthemselvesaremakingassumptionsaboutmycodeandpreventinganalertfromfiring?Ifso,howdoIavoidthis?
Comeindicatosopra,l'auditorXSSdiChromeemetteràsolounavviso.Quindi,sevedil'avvisosoprariportato,potrestieffettivamenteavereunavulnerabilitàXSSvalida.
[...]howdoIfindbypasses?
Lamaggiorpartedeibypasschevedionlinerichiedonouncontestospecificoaffinchéilpayloadfunzionieffettivamente.Dettoquesto,cisonostatibypassuniversaliinpassato,comesièvistoneltrackerdeiproblemidiChromium.Ibypasspossonoesserescopertitramitefuzzing,sperimentazionegeneraleopuramentepercaso.Oltreaciò,alcunibypassvengonoscopertialterandounbypassprecedente(vedi link e link ).
In futuro, ciò che raccomando di fare per assicurarsi che l'auditor XSS non effettui mai un kick mentre stai cacciando, è semplicemente attivare Chrome usando il flag --disable-xss-auditor .
Se sei interessato a saperne di più sui bypass del filtro XSS del browser, ti consiglio vivamente di dare un'occhiata a " Browser cheat sheet bypass XSS del browser
" di Masato Kinugawa .