Bypassing Whitelists With XSS Payloads in Attributes
Cet article explore les scénarios d'attaque XSS où des filtres de type whitelist, comme ceux utilisés par WordPress (wp_kses), peuvent être contournés. Malgré la robustesse de wp_kses contre l'injection de scripts, l'article montre qu'il est possible d'injecter des éléments HTML, comme les balises <svg> et des payloads, en utilisant des techniques astucieuses et en manipulant les attributs d'éléments HTML. Une démonstration et des exemples de payloads sont fournis, mettant en lumière les vulnérabilités potentielles dans les filtres de sécurité et les applications web.
