Estoy tratando de hacer que XSS funcione en un sitio. Me permite editar CSS, que luego se incluye dentro de la fuente de la página web, pero no me permite usar ", solo '. La fuente es así:
body {
margin: 0;
padding: 0;
background-color: #EFEFEF;
overflow: hidden;
font-family: Arial, Helvetica, sans-serif;
}
No se puede explotar XSS dentro de CSS si "está bloqueado. Gracias
Esta política podría evitar la ruptura de un atributo style con doble cita como en
<div style="payload goes here">
o si este CSS se almacena en una base de datos, podría ser un filtro de inyección SQL.
Para responder a tu pregunta, sí, aún puedes atacar el CSS con comillas simples
margin-left:expression('alert(1337)')
que funcionará en IE7 y versiones anteriores o en algunos modos de peculiaridades de IE más recientes y no impedirá que se inserten comillas dobles visibles en CSS como en
margin-left:expression('alert( pwned)')
Lea otras preguntas en las etiquetas xss