|
Título: XSS - Es posible bypassear los filtros por defecto de HTML5? Publicado por: Schaiden en 11 Julio 2016, 03:09 am Hola, bueno, mi duda es esa básicamente... Quería saber si existe alguna forma para enviar algo equivalente a "> sin que te salte el cartelito de HTML5... Me refiero a la validación que se hace si se usa el atributo required en el form... Y bueno, como sabrán existe una validación distinta para cada tipo de input... Me gustaría saber si se puede bypassear en algún tipo de input o ningúno... Y en caso de que no exista forma de bypassearlos, significa que no es necesaria una validación con javascript o PHP? Saludos y gracias por aclarar mis dudas
Título: Re: XSS - Es posible bypassear los filtros por defecto de HTML5? Publicado por: #!drvy en 11 Julio 2016, 03:13 am Simplemente cambia el tipo (type) del input a text y elimina (en caso de que existan) las limitaciones que imponen los atributos adicionales (regex, required, etc). Todo lo puedes hacer on-the-fly con las herramientas para desarrolladores de tu navegador (F12 en Firefox y Chrome).
También puedes hacer tu propio request mediante algún lenguaje de programación o re-enviar los campos editando los el post-data o los headers. Saludos Título: Re: XSS - Es posible bypassear los filtros por defecto de HTML5? Publicado por: Schaiden en 11 Julio 2016, 03:46 am Lo peor es que lo segundo sabía como hacerlo (lo de crear el request personalizado y modificar cabeceras http, y eso), pero no se me ocurrió usarlo para resolver ésto, jaja que tonto que fui... Y con lo primero me acabas de abrir la cabeza de una forma... ahora entiendo, todo lo que este de lado del cliente (del lado mio) lo puedo modificar como si fuera cualquier otro programa, lo único que realmente importa es la validación del lado del servidor.
Muchas gracias por abrirme tanto la cabeza! |