У вас должно быть более 5 сообщений для просмотра скрытого контента.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
На какие дырки можно проверить сайт, если он выводит теги?
- Автор темы Dudjcdiiwkdkcks
- Дата начала
- Автор темы
- Добавить закладку
- #2
Также сайт выводит теги при вводе моего текста. Если в окно ввода текста на сайте введу "Test Test Test", то он выбьет "<br>Test</br><br>Test</br><br>Test</b>"
xss, но скорее всего, она будет мало полезна
Тоже не факт, в исходнике там может символом стоит. Этот форум тоже покажет <>/\"' и что угодно, но это бесполезно
/del
ты бы хотя бы код элемента открыл, чтобы дерево DOM чекнуть. то что тебе вывело – просто текст а не рабочий тег.
1. проверь каким образом вставляется текст. если там есть какой-то innerHTML то уже можешь вертеть.
2. если есть текст-форма, то попробуй вписать туда тег скрипт. если удалит, то на хосте стоит санитайзер.
2.1 если санитайзер не получается обойти энкоднув нагрузку, то пробуй либо другие клиентские уязвимости, либо DOM Clobbering (https://portswigger.net/web-security/dom-based/dom-clobbering). опять же такие если узнаешь как вставляется текст в этом заголовке
2.2. проверь другие теги, а там уже и ивенты в тегах, по типу onload, onerror..
ну а так не зная сурс ты вряд ли что-то тут сделаешь
Thank you for sharing the Dom Clobbering, I learned something new today.