XSS dans la zone de texte lorsque <et> ne sont pas autorisés?
J'essaie d'exécuter XSS sur le point d'injection marqué par XXXX ici:
<div>
<textarea name="billing[something]" id="billing-something" rows="1"
type="phone" title="something" placeholder="something" cols="80">
XXXX
</textarea>
</div>
Je peux refléter n'importe quelle entrée, sauf < Ou >. Tous les personnages après ceux-ci seront supprimés. Puis-je effectuer n'importe quel type de XSS?
Exemple:
- Si j'introduis
XXXX>XXXXJ'obtiendraiXXXX XXXX[[>]>///J'obtiendraiXXXX[[XXXX[[<]<///J'obtiendraiXXXX[[
Dans d'autres endroits de cette application, j'ai pu exploiter des entrées à l'aide de charges utiles comme nsehe"onfocus="alert(1)"autofocus="e2c00 à cause de la solution de secours de <input value="...
Il existe en fait de nombreuses autres façons d'utiliser XSS, par exemple, vous pouvez convertir des caractères en hexadécimal ou ASCII équivalents, un exemple est ici:
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%48%69%22%29%3b%3c%2f%73%63%72%69%70%74%3e
qui est l'équivalent d'une boîte d'alerte qui dit salut
<script>alert("Hi");</script>
EDIT: ce blog peut être très utile pour contourner les filtres: https://alihassanpenetrationtester.blogspot.ie/2013/01/bypassing-xss-filters-advanced-xss.html