Paweł Goleń, blog

Zrzędzenie starego zgreda

Monday, September 2. 2019

Tak, XSS po uppercase jest możliwy

"Kiedyś to były czasy (...)". Bo były, ludzie myśleli i potrafili coś więcej niż (ledwo) obsłużyć Burp. I potrafili coś więcej niż tylko:

<script>alert(1)</script>

I jeśli payload byłby przekształcany do postaci uppercase, nie byliby załamani. Nie działa? To zadziała coś innego, na przykład TO - w wersji źródłowej:

<A HREF="" ONCLICK="&#X61;&#X6C;&#X65;&#X72;&#X74;&#X28;&#X31;&#X29;">TO</A>

Lepiej jest wiedzieć, że się czegoś nie wie, niż myśleć, że się wie, bo przecież "pentest nic nie znalazł". False sense of security jest gorszy niż (świadoma) niepewność.

Następny wpis: 9/11
Poprzedni wpis: 13 Minutes to the Moon

Ślady

Brak Śladów

Komentarze

Brak komentarzy

Dodaj komentarz

Najnowsze wpisy

Jak powstaje elektrozłom: Sunday, 21 July 2024
Cluster: Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...: Sunday, 30 June 2024
Po lewej stronie drogi: Sunday, 19 May 2024
Nie lubię, gdy jest płasko: Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki: Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz: Sunday, 14 January 2024
Z microk8s na k3s: Wednesday, 8 November 2023
Rajesh Penetrator: Saturday, 2 September 2023
random(random()): Tuesday, 1 August 2023

Losowe wpisy

Bootcamp II: "kontrola dostępu" do danych: Monday, 6 April 2009
Bootcamp IIa: nie, nie chodzi o bruteforce: Thursday, 21 July 2011
Fajrant!: Friday, 7 March 2008
W temacie forensic trochę wpisów się uzbierało...: Thursday, 10 June 2010
Bootcamp IIa: ciąg dalszy zadania: Wednesday, 20 July 2011
Mała rzecz, a cieszy: Monday, 15 May 2006
O podejmowaniu decyzji: Saturday, 24 February 2007
The Building Security In Maturity Model: Friday, 3 April 2009
47 kilometrów w 1,5 godziny: Sunday, 1 October 2006
XXIV spotkanie SPINu - 23.04: Wednesday, 8 April 2009