XSS: alert () no se ejecuta en diferentes sistemas operativos / computadoras

2

Me encontré con un comportamiento extraño mientras realizaba una auditoría de seguridad de una aplicación web. Algunas entradas controladas por el usuario mostraban sus valores, sin codificar, en la página que procesaba la solicitud. Después de probar algunos caracteres para ver si estaban codificados / eliminados, fui al clásico <script>alert(1);</script> para proporcionar un vector de muestra de "ataque". La alerta se mostró mientras lo probaba en mi computadora, Debian / CentOS / Windows 8.1 (en Chrome y Firefox), pero no funcionaba en otra computadora, Windows 7, ni en Chrome ni en Firefox o Internet Explorador. El código aún no estaba codificado en la fuente de la página, pero la alerta nunca apareció. Ejecuté varios códigos JavaScript y funcionó (asignando una variable, redirigiendo, etc.). Me aseguré de que ningún complemento interfiriera con lo que estaba haciendo. ¿Qué podría causar esto?

    
pregunta RC004 17.09.2014 - 10:07
fuente

1 respuesta

1

Estaría tentado a poner un proxy entre el servidor y el cliente y comparar la salida del byte de la solicitud del byte. Eso debería descartar las diferencias de servidor debidas a los encabezados del navegador en la solicitud, etc. y se reducirá a las diferencias locales. También puede capturar la salida en el proxy y cargarla en cada uno de los navegadores en cada máquina (como una repetición de la respuesta, no solo cargada como un archivo, es decir, interceptar el envío / respuesta y reemplazar la respuesta) y ver los resultados. - Esto descartaría el filtrado de la red entre la recepción local de las respuestas y el paso al navegador para renderizar. Entonces sabrás dónde está la diferencia en la cadena.

    
respondido por el David Scholefield 18.09.2014 - 10:33
fuente

Lea otras preguntas en las etiquetas