Estoy tratando de insertar una carga útil XSS en un campo de entrada HTML oculto. Sé que funciona con una etiqueta de script como la de abajo, pero estoy buscando otras alternativas.
<input type="hidden" name="date" value=""/> <script>alert('0');</script>" />
Encontré este artículo , que dice que se puede hacer con el atributo accesskey
:
Finalmente, aprendí sobre XSS a través de las teclas de acceso del artículo anterior y me pregunté si el evento onclick se activaría en la entrada oculta cuando se activara a través de una tecla de acceso. De los artículos que aprendí, podemos ejecutar una carga útil XSS dentro de un atributo oculto, siempre que pueda persuadir a la víctima para que presione la combinación de teclas. En Firefox Windows / Linux, la combinación de teclas es ALT + MAYÚS + X y en OS X es CTRL + ALT + X ..
Desde ahora, sé que funciona con algún valor de atributo de tipo, por ejemplo:
<input type="text" accesskey="X" onclick="alert(1)">
Estaba intentando con un campo oculto:
<input type="hidden" accesskey="X" onclick="alert(1)">
Pero esto no funciona para mí en varios navegadores, asumiendo que podría haber sido manejado para navegadores recientes, por lo que también probé con algunas versiones inferiores como Firefox 4, pero funciona. ¿Alguien puede ayudar con esto?