Tengo algunos casos de scripts entre sitios (XSS) en campos de entrada de HTML ocultos. Hay algunos vectores XSS conocidos que se pueden usar, por ejemplo, utilizando la tecla de acceso HTML.
XSS en entradas ocultas suele ser muy difícil de explotar porque los eventos típicos de JavaScript como
onmouseover
yonfocus
no pueden activarse debido a que el elemento es invisible. Fuente: enlace
Pero el uso de un llamado accesskey
requiere una alta interacción del usuario. ¿Hay otra forma de insertar código aquí y ejecutarlo sin necesidad de presionar teclas o una forma más suave de interacción del usuario?
En mi caso actual, los tres caracteres ()>
están filtrados.
Necesito un vector XSS que pueda inyectarse en esta posición:
<input type="hidden" name="[INJECTION]" />
Otra referencia al truco XSS de acceso clave se puede encontrar aquí: enlace