XSS на dns-shop

[badmurik]

Всем привет! Периодически нахожу XSS на всяких случайных сайтах,и вот назрел у меня вопрос.В адресной строке сайта днс-шоп отрабатывает xss <script>alert()</script>. Но почему не отрабатывает допустим <svg onload=alert()>, или <img src=x onerror=alert()> ? Подтверждение XSS

 

[kamikaz11]

When you use <script>alert()</script> , it automatically runs as JavaScript because it's a script tag. But other examples like <svg onload=alert()> or <img src=x onerror=alert()> rely on specific attributes like onload and onerror. These may not always work depending on where you insert them.

Some browsers or web applications have security features, such as Content Security Policy ( CSP ), that can block JavaScript execution through onload or onerror events.

The application might also sanitize or filter input differently depending on the tag or attribute. For example, it might remove onload or onerror attributes but leave <script> tags .

 

[zdestuta]

Странно, нет никакого XSS: https://www.dns-shop.ru/search/?q=<script>alert()</script>

 

[EvoMind]

Странно, нет никакого XSS: https://www.dns-shop.ru/search/?q=<script>alert()</script>

мб исправили уже ?

 

[badmurik]

Странно, нет никакого XSS: https://www.dns-shop.ru/search/?q=<script>alert()</script>

Пофиксили уже

 

[vagabond]

DNS тестирует новые маркетинговые решения по привлечению клиентов

 

[botnets]

удаляет <script> </script> , в истории видно

 

[zdestuta]

Посмотреть вложение 94719


удаляет <script> </script> , в истории видно

пробовали обфускацию типа <scr<script>ipt> ? если выпиливает нерекурсивно то может помочь ;-)