XSS en el campo de entrada omitir las entidades HTML [duplicar]

0

Estoy auditando una aplicación web y tratando de explotar XSS en el atributo de valor de un campo de entrada. Mientras estaba fuzzing, descubrí que la aplicación estaba filtrando < y > , así que cambié mi carga útil, pero la aplicación está convirtiendo " en &quot . Sin completar el valor del atributo con la cotización, la carga útil no funcionará.

El punto de inserción está marcado con USER INPUT a continuación:

<input name="xyz" value="USER INPUT" type="text">

¿Cómo puedo explotar esto?

    
pregunta codeur 25.02.2018 - 11:10
fuente

1 respuesta

0

No puedes. Parece que están protegiendo contra XSS correctamente.

Las entidades HTML ( &quot; , &gt; , &lt; , etc.) no se interpretan como HTML y convertir caracteres "peligrosos" en entidades es una de las formas ideales de protegerse contra XSS.

    
respondido por el Brian Williams 25.02.2018 - 21:03
fuente

Lea otras preguntas en las etiquetas