<および>が許可されていない場合のtextareaのXSS?
ここでXXXXでマークされた注入ポイントでXSSを実行しようとしています:
_<div>
<textarea name="billing[something]" id="billing-something" rows="1"
type="phone" title="something" placeholder="something" cols="80">
XXXX
</textarea>
</div>
__<_または_>_以外のすべての入力を反映できます。それらの後のすべての文字は削除されます。あらゆる種類のXSSを実行できますか?
例:
- _
XXXX>XXXX_を紹介すると、XXXXを取得します - _
XXXX[[>]>///_取得します_XXXX[[_ - _
XXXX[[<]<///_取得します_XXXX[[_
このアプリケーションの他の場所では、_<input value=".._フォールバックのため、nsehe"onfocus="alert(1)"autofocus="e2c00のようなペイロードを使用して入力を悪用することができました。
XSSを使用する方法は他にもたくさんあります。たとえば、文字を16進数またはASCIIに相当するものに変換できます。例は次のとおりです。
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%48%69%22%29%3b%3c%2f%73%63%72%69%70%74%3e
こんにちはと言う警告ボックスに相当します
<script>alert("Hi");</script>
編集:このブログはフィルターをバイパスするのに非常に役立ちます: https://alihassanpenetrationtester.blogspot.ie/2013/01/bypassing-xss-filters-advanced-xss.html