Estoy intentando omitir GET HTML injection en aplicación web Buggy (BWAPP) . La carga útil del campo de entrada se imprime en HTML después de enviarlo.
Bajo nivel de seguridad se puede omitir simplemente con una carga útil html en los campos.
Nivel de seguridad medio se puede omitir mediante la codificación de URL de la cadena que contiene la etiqueta html.
<?php
function xss_check_3($data, $encoding = "UTF-8"){
return htmlspecialchars($data, ENT_QUOTES, $encoding);
}
print xss_check_3($data);
?>
¿Es posible eludir este tipo de validación? No puedo pensar en ningún escenario posible de cómo proceder.