XSS dans un champ caché (input type hidden)

Posted by: Yann C.  /   Category: Vulnérabilités, exploits et PoC / XSS   /   Aucun commentaire
16
nov.
2015

Comment exécuter du JavaScript via une injection XSS dans un champ input type text hidden ?

Il arrive souvent de déceler une injection au sein d'un site web, d'une application web ou d'un CMS qui porte sur un champ de formulaire caché. Lorsque les caractères "<" et ">" sont filtrés, il n'est donc pas.

Read more

CheckPoint : RXSS et injection en paramètre de fonction JS

Posted by: Yann C.  /   Category: Contributions / Vulnérabilités, exploits et PoC / XSS   /   Aucun commentaire
10
nov.
2015

Plusieurs sous-domaines de l'éditeur de solutions de sécurité CheckPoint sont vulnérables à des Cross-Site Scripting réfléchies / CSS injection.

Cet article illustre notamment un cas concret d'exploitation d'une RXSS en tant que paramètre d'appel d'une fonction JS, dont les virgules ",", les chevrons "< et >" ainsi que les parenthèses "( et.

Read more