¿Hay otros ataques que no haya considerado?
Para evitar que se codifique el formulario de comillas simples, podría intentar introducir su carga útil en la ruta en lugar de la cadena de consulta. Por ejemplo, si la página vulnerable reside en http://example.com/path/vulnerable.php
, puedes probar algo como esto:
http://example.com/'onerror='payload/..%2Fpath/vulnerable.php
La idea es que algunos servidores resuelvan la ruta implícitamente. No verifican si la primera carpeta 'onerror='payload
existe realmente, pero inmediatamente regresan al directorio principal ( ../
) y resuelven el resto de la ruta sin emitir ningún redireccionamiento. (La URL que codifica la barra como %2f
evita que su navegador acorte automáticamente la ruta).
¿Hay otra forma de romper el atributo src?
No, una cita coincidente es su única oportunidad de escapar del valor del atributo como se explica en esta respuesta .