· Pablo Plaza Martínez · writeups
CSRF + XSS (filter bypass)
Explotación de XSS con bypass de filtros usando HTML encoding y eval+atob para realizar CSRF y exfiltrar información sensible del administrador en un CTF.
Etiqueta: xss
· Pablo Plaza Martínez · tutorialesWordPress 5.1 CSRF + XSS + RCE - PoC
Explicación paso a paso y PoC de la cadena de vulnerabilidades en WordPress 5.1 (parcheada en 5.1.1): CSRF en comentarios → XSS Stored vía bypass de wp_kses → RCE mediante edición de plugin como administrador. Requiere interacción de la víctima (visitar página maliciosa).
· Pablo Plaza Martínez · cheatsheetCross-Site-Scripting (XSS) – Cheat Sheet
Guía completa sobre vulnerabilidades XSS: tipos (Reflected, Stored, DOM-Based), técnicas de bypass de filtros y payloads para evadir validaciones y WAFs.
· Pablo Plaza Martínez · tutorialesSecuestrando sesiones PHP mediante XSS Stored
Explicación práctica de cómo robar sesiones PHP a través de un ataque XSS Stored en un formulario de comentarios vulnerable. Incluye inyección de JavaScript para exfiltrar cookies y técnicas modernas de detección/mitigación (CSP, SameSite, HttpOnly).