¿Cómo puedo ejecutar un XSS en 302 redirect y el cuerpo en la página?

Navega tus respuestas
0

¿Hay una manera de ejecutar XSS? en 302 redirigir y el cuerpo en la página? 

<HTML><HEAD>
<TITLE>302 Moved Temporarily</TITLE>
</HEAD>
<BODY>
The document has moved <A HREF="https://Example.com/">here</A>
</BODY></HTML>

Puedo romper con " pero no puedo usar ningún carácter después de que se elimine < o todo el parámetro. Tal vez hay una solución para "detener" la redirección y mostrar HTML? Estoy casi 99,99% seguro de que hay una manera de romperlo de alguna manera.

    
pregunta SecurityQuy 11.10.2018 - 14:01
fuente

1 respuesta

4

En muchos casos, una redirección 302 no contendrá ningún cuerpo.

El RFC solo requiere un encabezado para indique el estado 302 y la ubicación a la que se debe redirigir al usuario.

Como dijo Steffen, los navegadores modernos ignoran el cuerpo de la redirección y emiten directamente un GET para la ubicación especificada en el encabezado.

    
respondido por el Daisetsu 11.10.2018 - 22:54
fuente

Lea otras preguntas en las etiquetas

openssl EVP_aes_256_gcm - ¿qué hay dentro? Alemania: Reglamentos y respuesta de protección de la privacidad [cerrado]