Recientemente me convertí en el administrador de seguridad de un sitio web. No soy un maestro de la seguridad, pero tuve la oportunidad de entender cómo funciona la seguridad hoy en día.
El sitio web tiene una función de chat, y me preguntaba "¿Es este chat vulnerable al XSS?" Así que traté de ver qué caracteres se escapan porque, dado que el chat es un prefabricado, nadie puede decirme cómo funciona. Encontré que el < > se escapan, sin embargo puedo usar el comando: [img]www.anywbsite.com/image.jpg[/img]
y mostrará una vista previa de la imagen en el chat.
De esta manera parece bastante seguro, el problema es que puedo poner cualquier URL, incluso las URL que no existen, siempre que tenga una "www" y una ".com" al final se ejecutará El comando.
Me estaba preguntando, ¿hay alguna forma de que pueda formar una url en un script? o algo por el estilo.