¿Por qué el método onerror de mi ataque XSS no se dispara?

1

He podido inyectar un evento onerror en el HTML.

En la imagen puedes ver que onerror se ha inyectado, pero nunca se dispara.

    
pregunta Lakshay 26.08.2015 - 09:20
fuente

1 respuesta

2

A juzgar por cómo se subrayó alert(1);" onerror="alert(1); en el valor del atributo src , puedo adivinar que esto es lo que inyectó y que se analiza como una cadena (no rompió las comillas de valor de etiqueta). Por lo tanto, probablemente tampoco haya un atributo onerror , solo el valor de alert(1);" onerror="alert(1); para el atributo data-mce-src . Para asegurarse, inspeccione el código fuente que recibe su navegador, no una representación dom formateada.

    
respondido por el Cthulhu 26.08.2015 - 09:27
fuente

Lea otras preguntas en las etiquetas