Paweł Goleń, blog

“Kiedyś to były czasy (...)”. Bo były, ludzie myśleli i potrafili coś więcej niż (ledwo) obsłużyć Burp. I potrafili coś więcej niż tylko:

I jeśli payload byłby przekształcany do postaci uppercase, nie byliby załamani. Nie działa? To zadziała coś innego, na przykład [TO]() - w wersji źródłowej:

TO

Lepiej jest wiedzieć, że się czegoś nie wie, niż myśleć, że się wie, bo przecież “pentest nic nie znalazł”. False sense of security jest gorszy niż (świadoma) niepewność.

Oryginał tego wpisu dostępny jest pod adresem Tak, XSS po uppercase jest możliwy

Autor: Paweł Goleń