¿Cómo obtener una ventana emergente sin usar alerta, preguntar o confirmar? [cerrado]

-5

Estoy intentando explotar una vulnerabilidad XSS, pero las cadenas alert , prompt y confirm se están filtrando, por lo que no puedo usarlas. ¿Cómo puedo obtener una ventana emergente?

    
pregunta user133812 19.12.2016 - 07:37
fuente

1 respuesta

9

La función alert es en realidad un miembro del objeto window . Así que puedes llamarlo usando una notación de corchetes como esta:

window["ale"+"rt"]("XSS")

Dividir el nombre en dos y volver a agregarlo junto con un signo más es hacer que pase un filtro tonto que bloquea la cadena alert . Se podría usar cualquier operación de cadena que resulte en la cadena alert .

    
respondido por el Anders 19.12.2016 - 07:56
fuente

Lea otras preguntas en las etiquetas