¿Cómo se usa la etiqueta QSS como carga útil en un ataque XSS?

2

He recibido un informe de un cliente que enumera las vulnerabilidades de XSS. El informe muestra vulnerabilidades reflejadas de XSS. En cada vulnerabilidad, la carga útil reflejada es un <qss> no cerrado

Normalmente, cuando leo sobre las vulnerabilidades de xss, veo muchas cargas útiles que intentarán cerrar un apostraphe o una etiqueta de entrada, y luego inyectar una etiqueta <script> o algún javascript arbitrario.

¿Cuál es el significado de la etiqueta <qss> y cómo se puede usar en un ataque xss? Lo único que he descubierto con Google es que es una hoja de estilo qt, pero todavía no entiendo su función en XSS

    
pregunta SupremeDud 05.01.2015 - 18:00
fuente

1 respuesta

1

Esto parece ser una etiqueta insertada por el motor Qualys WAS (Web Application Scanning) .

Las etiquetas <qss> se insertan como entrada para probar si están codificadas correctamente como salida.

Este enfoque es más seguro en un sistema en vivo que las pruebas que usan las etiquetas <script> , que pueden tener consecuencias no deseadas como resultado del análisis, ya que las etiquetas <qss> serán ignoradas por cualquier navegador.

    
respondido por el SilverlightFox 05.01.2015 - 18:29
fuente

Lea otras preguntas en las etiquetas