XSS en el campo de entrada omitir las entidades HTML [duplicar]

Navega tus respuestas
0

Estoy auditando una aplicación web y tratando de explotar XSS en el atributo de valor de un campo de entrada. Mientras estaba fuzzing, descubrí que la aplicación estaba filtrando < y > , así que cambié mi carga útil, pero la aplicación está convirtiendo " en &quot . Sin completar el valor del atributo con la cotización, la carga útil no funcionará.

El punto de inserción está marcado con USER INPUT a continuación: 

<input name="xyz" value="USER INPUT" type="text">

¿Cómo puedo explotar esto?

    
pregunta codeur 25.02.2018 - 10:10
fuente

1 respuesta

0

No puedes. Parece que están protegiendo contra XSS correctamente.

Las entidades HTML ( &quot; , &gt; , &lt; , etc.) no se interpretan como HTML y convertir caracteres "peligrosos" en entidades es una de las formas ideales de protegerse contra XSS.

    
respondido por el Brian Williams 25.02.2018 - 20:03
fuente

Lea otras preguntas en las etiquetas

¿Qué método de inicio de sesión es mejor, desafío-respuesta basado en PIV o HMAC-SHA1? En Samba, ¿cuál es la diferencia de seguridad entre “enlaces amplios” y “enlaces amplios inseguros”?