web-dev-qa-db-ja.com

<および>が許可されていない場合のtextareaのXSS?

ここでXXXXでマークされた注入ポイントでXSSを実行しようとしています:

_<div>
  <textarea name="billing[something]" id="billing-something" rows="1" 
    type="phone" title="something" placeholder="something" cols="80">
XXXX
  </textarea>      
</div>
_

_<_または_>_以外のすべての入力を反映できます。それらの後のすべての文字は削除されます。あらゆる種類のXSSを実行できますか?

例:

  • _XXXX>XXXX_を紹介すると、XXXXを取得します
  • _XXXX[[>]>///_取得します_XXXX[[_
  • _XXXX[[<]<///_取得します_XXXX[[_

このアプリケーションの他の場所では、_<input value=".._フォールバックのため、nsehe"onfocus="alert(1)"autofocus="e2c00のようなペイロードを使用して入力を悪用することができました。

6
Lucian Nitescu

XSSを使用する方法は他にもたくさんあります。たとえば、文字を16進数またはASCIIに相当するものに変換できます。例は次のとおりです。

%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%48%69%22%29%3b%3c%2f%73%63%72%69%70%74%3e

こんにちはと言う警告ボックスに相当します

<script>alert("Hi");</script>

編集:このブログはフィルターをバイパスするのに非常に役立ちます: https://alihassanpenetrationtester.blogspot.ie/2013/01/bypassing-xss-filters-advanced-xss.html

1
Connor J