Estoy haciendo una prueba de un sitio web que tiene un XSS reflejado, o al menos un vector para una reflexión, pero el problema es el siguiente:
< , > , " a sus entidades HTML, pero no a & , ) o ( . No es la primera vez que veo implementaciones de este tipo. Express.js tiene esto por defecto, por ejemplo. ¿Están las implementaciones como estas a salvo de XSS?
No, eso no es necesariamente suficiente. Hay muchos vectores XSS que pueden potencialmente aplicarse, dependiendo de dónde se encuentre el punto de inyección.
Algunos ejemplos:
Inyección en valores de atributo no cotizados
Inyección en los valores de atributo citados con una comilla simple ( ' en lugar de " )
Inyección en CSS
Inyección en Javascript
Inyección en comentarios
... y mucho más. Debe realizar un escape sensible al contexto, y definitivamente necesita escapar con un mínimo de < , > , " , ' , más algunos más en algunos contextos. Pasa algún tiempo en el sitio de OWASP; hay toneladas escritas allí, y esto se explica con gran detalle.
a veces también escapan del parámetro "alerta", entonces puedes usar algo como "onMouseOver", etc., y puedes encontrar el enlace completo aquí. enlace (intente con los localizadores xss)
además, puede usar% 3C en lugar de < y así... intente la codificación url etc.
y si el texto está codificado en segundo plano, es posible que xss no funcione ...
Lea otras preguntas en las etiquetas web-application attacks appsec xss