XSS - Es posible bypassear los filtros por defecto de HTML5?

Iniciado por Schaiden, 11 Julio 2016, 03:09 AM

0 Miembros y 1 Visitante están viendo este tema.

Schaiden

Hola, bueno, mi duda es esa básicamente... Quería saber si existe alguna forma para enviar algo equivalente a "> sin que te salte el cartelito de HTML5... Me refiero a la validación que se hace si se usa el atributo required en el form... Y bueno, como sabrán existe una validación distinta para cada tipo de input... Me gustaría saber si se puede bypassear en algún tipo de input o ningúno... Y en caso de que no exista forma de bypassearlos, significa que no es necesaria una validación con javascript o PHP? Saludos y gracias por aclarar mis dudas

#!drvy

Simplemente cambia el tipo (type) del input a text y elimina (en caso de que existan) las limitaciones que imponen los atributos adicionales (regex, required, etc). Todo lo puedes hacer on-the-fly con las herramientas para desarrolladores de tu navegador (F12 en Firefox y Chrome).

También puedes hacer tu propio request mediante algún lenguaje de programación o re-enviar los campos editando los el post-data o los headers.

Saludos

Schaiden

#2
Lo peor es que lo segundo sabía como hacerlo (lo de crear el request personalizado y modificar cabeceras http, y eso), pero no se me ocurrió usarlo para resolver ésto, jaja que tonto que fui... Y con lo primero me acabas de abrir la cabeza de una forma... ahora entiendo, todo lo que este de lado del cliente (del lado mio) lo puedo modificar como si fuera cualquier otro programa, lo único que realmente importa es la validación del lado del servidor.

Muchas gracias por abrirme tanto la cabeza!