Estaba usando Burp Suite para algunas pruebas y noté que incluían la siguiente cadena:
\";alert('XSS');//
como una cadena de ataque para una carga útil XSS.
¿Cómo podría usarse esta cadena para ejecutar un ataque XSS?
Estaba usando Burp Suite para algunas pruebas y noté que incluían la siguiente cadena:
\";alert('XSS');//
como una cadena de ataque para una carga útil XSS.
¿Cómo podría usarse esta cadena para ejecutar un ataque XSS?
El propósito de la cadena es probar si es posible la inyección de JavaScript. No hará daño a sí mismo, solo mostrará un cuadro de alerta con el mensaje "XSS", lo que significaría que usted inyectó correctamente el sitio web con algún JavaScript. Luego, un atacante podría inyectar cualquier JS para realizar un ataque XSS.
No estoy seguro de este escenario, pero piénsalo así.
La aplicación proporciona un javascript y una entrada de lo que proporcionó el usuario.
Me gusta
<script>
somecode
"some value the user input here"
alert('XSS');//
</script>
En esa situación, las etiquetas de Script no son necesarias, pero solo el código funcionará como un XSS. Para tal situación, el código \ "; alert ('XSS'); // será necesario. Solo compartir un pensamiento.
Lea otras preguntas en las etiquetas web-application xss javascript burp-suite