XSS en área de texto cuando y no están permitidos?

3

Estoy intentando realizar XSS en el punto de inyección marcado con XXXX aquí:

<textarea name="billing[something]" id="billing-something" rows="1" 
type="phone" title="something" placeholder="something" cols="80">XXXX</textarea>        </div>

Puedo reflejar cualquier entrada, excepto < o > . Todos los personajes después de esos serán eliminados. ¿Puedo realizar cualquier tipo de XSS?

Ejemplo:

  • Si introduzco XXXX>XXXX obtendré XXXX
  • XXXX[[>]>/// obtendré XXXX[[]
  • XXXX[[<]</// obtendré XXXX[[

En otros lugares de esta aplicación, pude explotar entradas usando cargas útiles como nsehe"onfocus="alert(1)"autofocus="e2c00 debido a <input value=".. fallback.

    
pregunta Lucian Nitescu 20.04.2018 - 11:51
fuente

1 respuesta

1

En realidad, hay muchas otras formas en las que puedes usar XSS, por ejemplo, puedes convertir caracteres a sus equivalentes hexadecimales o ASCII, aquí hay un ejemplo:

%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%48%69%22%29%3b%3c%2f%73%63%72%69%70%74%3e

que es equivalente a un cuadro de alerta que dice hola

<script>alert("Hi");</script>

EDITAR: este blog puede ser muy útil para omitir filtros: enlace

    
respondido por el Connor J 20.04.2018 - 17:31
fuente

Lea otras preguntas en las etiquetas