¿Probar XSS cuando la mayoría de los ataques producen un error 403?

0

Al probar un sitio web que tiene una política de divulgación responsable, descubrí que puedo insertar un código y cerrar el atributo e insertar un texto propio:

<input type="text"  value=""xsstext>

Ahora estoy seguro de que puedo enviarles un correo electrónico para mostrarles que puedo insertar <!-- y comentar el resto de la página, pero no creo que se lo tomen demasiado en serio. Por lo que probé, arrojará un error 403 al usar:

"javascript:
"onload=     (and onmouseover, onfocus etc.)
"onload:
"<script >
"<svg >
"<iframe>
"expression(

Es posible insertar por ejemplo:

<b>batman</b>
<img>
<div>

Soy bastante nuevo en XSS. ¿Hay alguna manera de que pueda ejecutar algún script o hacer algo más útil aquí?

    
pregunta toom 10.04.2018 - 12:14
fuente

1 respuesta

2

El filtro aquí parece ser una especie de lista negra. No filtra directamente ni codifica caracteres peligrosos como < y > , sino que bloquea completamente las solicitudes que contienen ciertas cadenas o patrones. No me sorprendería si la aplicación en sí no tiene protección XSS, pero hay un servidor de seguridad de aplicación web (WAF) frente a ella que lanza un 403 cuando ve algo que parece peligroso.

La buena noticia sobre este tipo de filtro es que rara vez son herméticos. La mala noticia es que puede ser difícil encontrar algo que realmente lo logre. Aquí hay algunas sugerencias que pueden o no funcionar:

  • Pruebe la sensibilidad a mayúsculas y minúsculas: <sCRipT> , ONloAd
  • Cada controlador de eventos en el libro: onerror , etc., etc.
  • Otros esquemas de URL peligrosos: <a href="vbscript:...">
  • URL que codifica letras comunes: %3c%73%63%72%69%70%74%3e

Para más inspiración, consulte OWASP XSS Filter Evasion Cheet Sheat . En general, pruebe cosas pequeñas (por ejemplo, solo la cadena onerror , no " onerror="alert('XSS');" ) y vea qué pasa, luego trabaje hasta llegar a una carga útil completa. Y recuerda, este es un juego donde se recompensa la persistencia.

    
respondido por el Anders 10.04.2018 - 14:55
fuente

Lea otras preguntas en las etiquetas