BF
img src="javascript:alert();" не пойдёт?
Size: a a a
2020 October 03
᠌
думаю уже лет 10 как не пойдёт
BF
bruh
᠌
BF
Ну по такой логике браузеры уже давно не исполняют жс-код в изображениях. Хочешь знать поновее инфу - забей на h1 в поиск img src xss
BF
А зачем ты юзаешь onerror? Сам же говоришь, что всё, что начинается с on, забанено
᠌
Забанено только в том случае, если WAF понял, что это аттрибут
᠌
"onerror -> pass
onerror -> block
onerror -> block
BF
Так а как ты запихнёшь рабочий атрибут в кавычку?
BF
Ну разве что как-то так: foo=""bar="xss"
᠌
Никак, вот щас сижу и думаю. Ни один из %0a%0b%2f%09%0c не пролазит до аттрибута
BF
Ваф тебя прям выкинет с сайта если ты что-то что ему не понравится сделаешь?
᠌
Да, выдает 403
BF
Ну так пофаззь разными символами по одному и узнай на какие конкретно он ругается
BF
Может что новое откроешь
᠌
Ну я думаю браузеры уже до меня все профаззили
BF
Там это, читщит портсвиггера не знает никаких подходящих условий для xss внутри img src, кроме img src/onerror=alert(), так что хз, может быть ты вовсе и зря над этим паришься и там ничего нет.
᠌
Тут в начале таблицв с этими символами есть https://netsec.expert/2020/02/01/xss-in-2020.html
SB
По описанию выглядит как нормально реализованный waf, пробуй искать удобные конструкции в существующем коде
᠌
Ну про удобные конструкции это врядли. Единственное место где отражается этот input - error-log в html таблице...