XSS stocké dans onclick avec encodage complet

Stored XSS into onclick event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped

Lab: Stored XSS into onclick event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped | Web Security AcademyWebSecAcademy

Cette lab contient une vulnérabilité XSS stockée dans la fonctionnalité de commentaires : la valeur d’un champ (nom/auteur/website) est réutilisée dans un attribut onclick et encodée — les chevrons < et > et les guillemets doubles sont HTML-encodés, tandis que les guillemets simples et les backslashes sont échappés.

Objectif : soumettre un commentaire de façon à exécuter alert() lorsque l’on clique sur le nom de l’auteur.

Dans la zone website la page injecte quelque chose comme :

onclick="var tracker={track(){}};tracker.track('http://test.com');"

Les apostrophes simples sont représentées par l’entité '. Exemple :

&apos;

Lorsque l’on envoie http://hack.com'test la page interprète ' comme apostrophe (donc la quote est présente côté DOM).

<p>It&apos; a wonderfull day </p>

Profiter du fait que ' devient une apostrophe pour briser la chaîne JavaScript et injecter un calcul/concaténation qui appelle alert().

http://hack.com&apos;test

Lorsque l’on envoie http://hack.com'test la page interprète ' comme apostrophe (donc la quote est présente côté DOM).

Profiter du fait que ' devient une apostrophe pour briser la chaîne JavaScript et injecter un calcul/concaténation qui appelle alert().

http://hack.com&apos; + alert(0) + &apos;

Mis à jour il y a 4 mois

hashtagStored XSS into onclick event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped

Stored XSS into onclick event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped