Evasión XSS [DUDA]

Mazoft · Julio 02, 2016, 07:22:26 PM

Muy buenas a tod@s

Buscando inyectar código XSS en una página vulnerable veo que tiene un filtro y al meter una secuencia de código, por ejemplo, esta:

Código: text

<img src="x" onerror="alert(0)">

Me la transforma en esto:

Código: text

<img src=3D"x" onerror=3D"alert(0)">

¿Cómo veréis después del = me añade un "3D", hay alguna forma para poder evadir esto partiendo del código que yo he compartido?

blackdrake · Julio 03, 2016, 01:18:50 PM

Hay mil formas de escapar de un filtro, puedes utilizar cualquier lista de los muchos fuzzers que hay, pero lo más últil es, que aprendas como funciona el filtro y así intentar bypassearlo.

Intenta ejecutar el XSS sin poner = y nos cuentas.

También he de decir que no siempre se puede bypassear, pero con esos datos, no puedo ayudarte más.

Evasión XSS [DUDA]

Mazoft

Julio 02, 2016, 07:22:26 PM Ultima modificación: Julio 02, 2016, 07:30:19 PM por Mazoft

blackdrake

Julio 03, 2016, 01:18:50 PM #1