Estoy probando una aplicación web, cuando envío datos de entrada a la aplicación web, esto coloca los datos en una función onclick
, algo como esto:
<a href="#" onclick="someFunction('dataFromServer', '0');">link</a>
Pero, la aplicación web transforma esos datos de minúsculas a mayúsculas, luego, si reemplazo dataFromServer
por ','0');alert('XSS');someFunction('
, tengo el siguiente resultado:
<a href="#" onclick="someFunction('','0');ALERT('XSS');SOMEFUNCTION('', '0');">link</a>
Por lo tanto, mi vulnerabilidad XSS no funciona, porque el navegador dice "ALERT no está definido", lo he probado en Firefox e IE.
¿Hay alguna manera de ejecutar un XSS en este caso?