Estoy en un pentest para un cliente y tienen una aplicación de rieles personalizada que permite a las cuentas de administrador cambiar el contenido de la página. Mientras que el editor de aplicaciones para el usuario filtra las etiquetas de script, el backend no lo hace, por lo que al usar Burp puedo ingresar JS arbitrarios a la página.
Aunque el XSS almacenado es un hallazgo suave, quería ver si podía cambiar la página de maneras más significativas, como agregar etiquetas <%= %> para cambiar el código Ruby subyacente. Lamentablemente, cualquier entrada como esa ha sido devuelta en HTML codificado, lo que significa que la están filtrando. No creo que sea un enfoque de lista blanca porque permitirán etiquetas no deseadas como <s></s> . Parece que el filtro está encontrando solo los caracteres rouge < y cualquier etiqueta con un carácter significativo, por lo que <# o <? , etc.
¿Alguien ha visto filtros como estos antes y conoce alguna táctica de evasión?