Por lo tanto, estoy evaluando un sitio web notoriamente seguro para el exploit XSS, pero he notado algo interesante. Prohiben las entidades de número HTML ( {
) pero no los tipos de letra ( <
).
Con el tipo de "letra", analiza en el sitio web y puedo ingresar <script>
y todo eso, pero no se ejecuta.
Este es mi problema:
Está leyendo la entrada y luego como una cadena, e incluso si escapo del intervalo con </span>
, no hace nada.
Una visual de lo que estoy hablando es:
<span class="sanitizedtext">[INPUT HERE]</span>
Incluso si uso etiquetas, hace esto:
<span class="asdf"></span><script>[my code here]</script><span></span>
Mientras que lo anterior debería romperse y ejecutarse, no lo hace. Simplemente permanece allí, incluso si está regresando a la página.
TL; DR:
Encontré una manera de hacer que una página acepte <script>
, pero simplemente se queda ahí porque se está leyendo como una cadena, no como un código. (Incluso si trato de escapar del span / div / lo que sea)
Lo siento si soy malo en XSS. ¡Gracias a todos por adelantado!