Situación muy frustrante en un pentest que estoy haciendo actualmente: he encontrado un lugar donde puedo inyectar casi todos los caracteres en una pieza de javascript desde un parámetro.
Pero los desarrolladores web parecen tener suerte: el código que puedo modificar nunca se ejecuta porque hay un error de sintaxis de javascript antes de mi punto de inyección. ¡Argh!
Así que pensé que podría terminar el bloque de javascript haciendo </script>
y luego agregando mi ataque. Sin embargo, no puedo usar el carácter /
, casi el único carácter que se filtra. Probé una larga lista de variaciones pero ninguna parece funcionar. Puedo administrar </script>
pero el navegador no lo recoge como </script>
.
¿Alguna idea? ¿Puedo modificar algo para que mi script se ejecute de todos modos? ¿O hay otra forma de finalizar un bloque de script, que no sea </script>
? ¿Algunas otras codificaciones del carácter /
que puedo probar? Cualquier ayuda muy apreciada. :)