доброго времени

столкнулся со следующией проблемой, пытаюсь запихнуть XSS в комментарии на одном сайте. во время как отсылаю запрос на сервер, перехватываю его и добавляю - после чего в комментах появляется не подгруженная картинка, но prompt не срабатывает... как только я уже его не encode"ил и какие только attribute events не запихывал.... после чего через view-source я находил только .

пысы, на сайте через перехватывающую проксю вожможно запихнуть любые теги, ну почти любые - iframe / script удаляются, возможно подскажете что еще можно интересного запихнуть.

Прошу помощи чтоб разобраться с этой делемой... Возможно ли как-то обойти эту санитизацию..!?

вообще все ивенты вырезаются? посмотрите у этих парней в твиттере

https://twitter.com/brutelogic

https://twitter.com/Psych0tr1a

угу, нашел лист допустимых тегов на их сайте и допустимых атрибутов - ну и пытался крутиться вокруг да около.. ниче не получилось - потратил куча времени ))

вот их лист:


PHP:
listOfTags= ['strong','em','b','i','p','code','pre','tt','samp' ,'kbd','var','sub','sup','dfn','cite','big','small ','address','hr','br','id','div','span','h1','h2', 'h3','h4','h5','h6','ul','ol','li','dl','dt','dd', 'abbr','acronym','a','img','blockquote','del','ins ','u','table','thead','tbody','tfoot','tr','th','t d','colgroup']
listOfAttributes= ['href','src','width','height','alt','cite','dateti me','title','class','name','xml:lang','abbr','targ et','border']

попробовал даже сгенерить на остновании этих 2х листов эксплоиты с листом ивентов - получилось 180к ))) многовато однако... закинул около 2к на сайт - гады пообрезали всеравно

пысы, по-поводу этих парней знаю, и пытался юзать их техники тоже...

возможно будет интересно, вот еще 1 чувак который норм описывает: https://twitter.com/soaj1664ashar

update:

ааа, единственное что помогло чтоб не вырезалось - это закинуть в таком формате: , так же менял на onerror, но проверив в разных браузерах - XSS не сработал (хотя поведение везде разное)