Un ataque XSS está funcionando en Firefox pero no en Chrome. Se recomiendan cambios para que funcione en Chrome

Navega tus respuestas
0

Puedo inyectar esto: 

http://domain.com/search/songs/<img src='alert(document.cookie)' onerror='alert(document.cookie)'>

a la página HTML.

El evento onerror me está dando la cookie en mi última versión de Firefox actualizada.

Pero Chrome está limpiando el HTML para esto: 

<img src="alert(document.cookie)" onerror="">

Cuando intento inyectar la etiqueta de secuencia de comandos, la aplicación de alguna forma la desinfecta.

No sé si debería compartir el sitio web en el que encontré esta vulnerabilidad aquí.

Por favor sugiéreme cómo hacer que funcione en Chrome.

    
pregunta Lakshay 12.07.2014 - 15:45
fuente

1 respuesta

1

Por lo general, demostrar un ataque en un solo navegador es suficiente para un compromiso de prueba de penetración, a menos que sea un entorno donde solo se esté utilizando Chrome o similar.

Dicho esto, supongo que esto es un XSS reflejado, por lo que es probable que el auditor de XSS lo detecte: enlace

    
respondido por el David 13.07.2014 - 07:57
fuente

Lea otras preguntas en las etiquetas

Usar la clave privada RSA dada sin la clave pública asociada ¿Los ataques de diccionario solo usan entradas específicas de un diccionario, o combinaciones de una entrada?