Hola!
Soy nuevo en el foro y estuve leyendo los manuales de Inyeccion SQL y de XSS.
Estuve probando xss en varios sitios y si bien en algunos pude conseguir el bendito alert en varios otros no llego a pasar los filtros.
Utilice la mayoria de los ejemplos de esta pagina que recomendaban: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
pero no me sirvieron en su mayoria.
El principal problema que no se como resolver es cuando le meto <script>loquesea</script> me devuelve <script></script> vacio... y si le pongo algo como: <IMG SRC=javascript:alert('XSS')> me devuelve: <img src="javascript:void(0)" >
Que filtro es este? como se supera?
Desde ya muchas gracias por compartir sus conocimientos!
Hay filtros bien hechos, igual estás dando por sentado que está mal y es muy dificil saltarlo, cuando está bien sellado :silbar:
un buen programador con seguridad busca toooodos esas ejemplos los analiza y limpia, y lo que es sospechoso mata en seco y listo XD prefiero que los usuarios tengan problemas con links raros a que sufran por un hueco de seguridad XD