ここでXXXX
でマークされた注入ポイントでXSSを実行しようとしています:
_<div>
<textarea name="billing[something]" id="billing-something" rows="1"
type="phone" title="something" placeholder="something" cols="80">
XXXX
</textarea>
</div>
_
_<
_または_>
_以外のすべての入力を反映できます。それらの後のすべての文字は削除されます。あらゆる種類のXSSを実行できますか?
例:
XXXX>XXXX
_を紹介すると、XXXX
を取得しますXXXX[[>]>///
_取得します_XXXX[[
_XXXX[[<]<///
_取得します_XXXX[[
_このアプリケーションの他の場所では、_<input value="..
_フォールバックのため、nsehe"onfocus="alert(1)"autofocus="e2c00
のようなペイロードを使用して入力を悪用することができました。
XSSを使用する方法は他にもたくさんあります。たとえば、文字を16進数またはASCIIに相当するものに変換できます。例は次のとおりです。
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%48%69%22%29%3b%3c%2f%73%63%72%69%70%74%3e
こんにちはと言う警告ボックスに相当します
<script>alert("Hi");</script>
編集:このブログはフィルターをバイパスするのに非常に役立ちます: https://alihassanpenetrationtester.blogspot.ie/2013/01/bypassing-xss-filters-advanced-xss.html