XSS nel campo di inserimento ignorano le entità HTML [duplicate]

0

Sto verificando un'applicazione web e sto provando a sfruttare XSS nell'attributo value di un campo di input. Durante il fuzzing ho capito che l'applicazione sta filtrando < e > , quindi ho cambiato il mio payload ma l'applicazione sta convertendo " in &quot . Senza completare il valore dell'attributo con la citazione, il carico utile non funzionerà.

Il punto di inserimento è contrassegnato con USER INPUT di seguito:

<input name="xyz" value="USER INPUT" type="text">

Come posso sfruttare questo?

    
posta codeur 25.02.2018 - 11:10
fonte

1 risposta

0

Non puoi. Sembra che stiano proteggendo contro XSS correttamente.

Le entità HTML ( &quot; , &gt; , &lt; , ecc.) non sono interpretate come HTML e trasformare i caratteri "pericolosi" in entità è uno dei modi ideali per proteggersi contro XSS.

    
risposta data 25.02.2018 - 21:03
fonte

Leggi altre domande sui tag