Primero que nada, no sé si esta pregunta ya se menciona aquí, créeme, ya busqué.
así que estaba tratando de romper una cadena dentro de las comillas simples y dobles de attr a continuación;
onclick="window.location='{$url4stat}en'"
ahora digamos las URL de aplicaciones web como enlace
pude inyectar un parámetro aleatorio después de / index / path que es / index /? rand = 123 y se incluyó en responder boby tal; onclick="window.location='/index/?rand=123&stat=en'"
así que pensé que podría funcionar de alguna manera poniendo una comilla doble " y veo si el html responde a los saltos del cuerpo. Resulta que se codifica %22 onclick="window.location='/index/?rand=%22&stat=en , por lo que poner la carga útil perezosa "><script>alert(1)</script> será inútil (lo he intentado)
Pero, al usar burpsuite, pude editar la solicitud codificada antes de enviarla al servidor web, cuando abre el cuerpo de respuesta en el navegador, ¡la alerta simplemente aparece! ¿Esto significa que es propenso a XSS? Si es así, mi pregunta es posible pasar por alto esto? Ya probé la codificación doble, usando hexadecimal,% 23x, y muchas otras cargas útiles, pero nada funciona. Resulta que la carga útil de doble codificación se mantendrá, si puse %2522 , el cuerpo de respuesta se convertirá en onclick="window.location='/index/?rand=%2522&stat=en nada cambiará, igual que con otra carga útil. parece que solo unos pocos caracteres como ", ', >, <, serán codificados. Si me encontré con el navegador IE, las cargas útiles funcionan. solo Chrome, FF, aún no han probado Opera y Safari.
Apreciará cualquier sugerencia, técnica, carga útil.