maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-web/xss-cross-site-scripting/xss-in-markdown

Browse Source
This commit is contained in:
Translator 2025-01-26 09:38:14 +00:00
parent 9a8971624e
commit 3639f6afc0
1 changed files with 3 additions and 3 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

6
src/pentesting-web/xss-cross-site-scripting/xss-in-markdown.md
View File

@ -4,7 +4,7 @@
もしマークダウンにコードを注入する機会があれば、コードが解釈されるときにXSSをトリガーするために使用できるいくつかのオプションがあります。
### HTMLタグ
### HTML tags
マークダウンでXSSを取得する最も一般的な方法は、javascriptを実行する一般的なHTMLタグを注入することです。なぜなら、いくつかのマークダウンインタープリターはHTMLも受け入れるからです。
```html
@ -14,7 +14,7 @@ alert(1)
</script>
<img src="x" onerror="alert(1)" />
```
より多くの例は[main XSS page of hacktricks]()で見つけることができます。
より多くの例は[hacktricksのメインXSSページ](README.md)で見つけることができます。
### Javascriptリンク
@ -42,7 +42,7 @@ t:prompt(document.cookie))
```
### HTML Sanitiser Markdown Bypass
次のコードは**HTML入力をサニタイズ**し、その後**Markdownパーサーに渡します**。その後、XSSはMarkdownとDOMPurifyの間の誤解を利用してトリガーされる可能性があります。
次のコードは**HTML入力をサニタイズ**し、その後**Markdownパーサーに渡しています**。その後、XSSはMarkdownとDOMPurifyの間の誤解を利用してトリガーされる可能性があります。
```html
<!--from https://infosecwriteups.com/clique-writeup-%C3%A5ngstromctf-2022-e7ae871eaa0e -->
<script src="https://cdn.jsdelivr.net/npm/dompurify@2.3.6/dist/purify.min.js"></script>