Por lo tanto, estoy evaluando un sitio web notoriamente seguro para el exploit XSS, pero he notado algo interesante. Prohiben las entidades de número HTML ( { ) pero no los tipos de letra ( < ).
Con el tipo de "letra", analiza en el sitio web y puedo ingresar <script> y todo eso, pero no se ejecuta.
Este es mi problema:
Está leyendo la entrada y luego como una cadena, e incluso si escapo del intervalo con </span> , no hace nada.
Una visual de lo que estoy hablando es:
<span class="sanitizedtext">[INPUT HERE]</span>
Incluso si uso etiquetas, hace esto:
<span class="asdf"></span><script>[my code here]</script><span></span>
Mientras que lo anterior debería romperse y ejecutarse, no lo hace. Simplemente permanece allí, incluso si está regresando a la página.
TL; DR:
Encontré una manera de hacer que una página acepte <script> , pero simplemente se queda ahí porque se está leyendo como una cadena, no como un código. (Incluso si trato de escapar del span / div / lo que sea)
Lo siento si soy malo en XSS. ¡Gracias a todos por adelantado!