Construyo un pequeño sitio web para propósitos de pruebas de penetración utilizando el marco Google Webtool Kit .
Sin embargo, pude hacer que la aplicación fuera vulnerable contra xss usando el siguiente código:
final HTML xssWidget = new HTML();
xssButton.addClickHandler(new ClickHandler() {
@Override
public void onClick(ClickEvent event) {
xssWidget.setHTML(xssTextField.getText());
}
});
Como puede ver, estoy usando un widget HTML para mostrar información de entrada directamente en la interfaz de usuario. Cuando el usuario completa un texto en un campo de texto, se mostrará inmediatamente después de hacer clic en un botón.
Hasta ahora, bien ... El problema es que no puedo usar Burp Suite para grabar la solicitud que envié y usarla como una solicitud básica para el Intruso o el Repetidor. Hacer clic en ese botón no se ve "técnicamente" en eructo, porque no está dirigido al servidor (sin interacción).
¿Alguien me puede dar un consejo? Atentamente, Nazar