Actualmente estoy haciendo una prueba de un sitio para un cliente mío y encontré un 'error' muy extraño.
Tienen un cuadro de búsqueda en la página de inicio que, si ingreso te\tst
y presiono buscar, redirige a la página de resultados de búsqueda (no a través de ajax), y en el título muestra las palabras clave que busqué, sin embargo , el personaje de control realmente se ejecuta.
Así que la etiqueta del título dice esto: "te st | site name"
< - Ejecutó el \ t y creó 4 espacios.
Así que mis preguntas realmente son:
- ¿Podría clasificarse esto como una vulnerabilidad potencial?
- ¿Hay alguna forma de que esto pueda ser explotado?
¡Gracias!
[Edit◆
Solo para tu información, también ejecuta otros caracteres de control, no solo la pestaña. Acabo de intentar \ r \ n y es nuevo.
Además, solo ejecuta los caracteres de control si están encapsulados dentro de otros caracteres, por lo que:
\r\n
no funciona
te\r\nst
devolverá te [nueva línea] st