من برای یک مشتری پنتافته است و آنها یک برنامه ریل های سفارشی است که اجازه می دهد تا مدیر حساب برای تغییر محتویات صفحه. در حالی که ویرایشگر جاوا اسکریپت تگ اسکریپت تگ ها را Backend می کند بنابراین با استفاده از burp من می توانم JS دلخواه را به صفحه دریافت کنید. در حالی که ذخیره شده XSS یک جستجوی ملایم است، می خواهم ببینم آیا می توانم صفحه را به شیوه های معنی دارتری مانند اضافه کردن برچسب <%= %> تغییر دهم تا کد زیر روبی را تغییر دهم. متاسفانه هر ورودی مانند آن بازگشت به متن کد شده به معنی آنها آن را فیلتر کردن. من فکر نمی کنم یک رویکرد لیست سفید باشد، زیرا به برچسب های ناخواسته مانند اجازه خواهد داد. به نظر می رسد که فیلتر یک شخصیت "" <تنها "را به تنهایی و هر تگ با شخصیت معنی دار" <# "یا" <؟ "و غیره پیدا کرده است.
آیا کسی تاکنون چنین فیلترهایی را دیده و می داند؟
متشکرم.