XSS avec événements et attributs href bloqués

Reflected XSS with event handlers and href attributes blocked

Lab: Reflected XSS with event handlers and href attributes blocked | Web Security AcademyWebSecAcademy

Lab d’XSS réfléchi : certaines balises sont autorisées, mais tous les gestionnaires d’événements et les attributs href des ancres sont interdits. L’exploit doit injecter un élément cliquable libellé "Click" (ou équivalent) et déclencher alert() au clic.

Insérer un élément visible portant le mot Click qui, lorsque l’utilisateur clique dessus, exécute alert() malgré l’interdiction des gestionnaires d’événements et des href.

<script>

L’insertion de <script> renvoie : Tag is not allowed.

La balise <a> est acceptée (par ex. <a>test</a>),

<a>test</a>

L’attribut href est refusé — href="javascript:..." est bloqué.

<a href="javascript:alert(0);"Click me</a>

Les éléments SVG sont autorisés (<svg> est accepté).

<svg>

Les éléments d’animation SVG (comme <animate>) semblent présents et exploitables.

Tentatives —

Injecter <script> → rejeté.
Utiliser <a href="javascript:..."> → attribut interdit.
Contourner le blocage en combinant SVG et éléments d’animation pour transférer une valeur de type href vers une ancre et ainsi tenter d’exécuter javascript:alert(0) au clic.

<svg><a><animate attributeName=href values=javascript:alert(0) /><text x=30 y=30>Click me!</script></a>

Mis à jour il y a 2 mois

Ce contenu vous a-t-il été utile ?