Estoy intentando explotar una vulnerabilidad XSS, pero las cadenas alert , prompt y confirm se están filtrando, por lo que no puedo usarlas. ¿Cómo puedo obtener una ventana emergente?
Estoy intentando explotar una vulnerabilidad XSS, pero las cadenas alert , prompt y confirm se están filtrando, por lo que no puedo usarlas. ¿Cómo puedo obtener una ventana emergente?
La función alert es en realidad un miembro del objeto window . Así que puedes llamarlo usando una notación de corchetes como esta:
window["ale"+"rt"]("XSS")
Dividir el nombre en dos y volver a agregarlo junto con un signo más es hacer que pase un filtro tonto que bloquea la cadena alert . Se podría usar cualquier operación de cadena que resulte en la cadena alert .
Lea otras preguntas en las etiquetas xss javascript