Chiusura di un tag HTML senza utilizzare il carattere effettivo

5

Attualmente sto imparando come eseguire XSS sui siti Web, ma c'è un problema costante che continua a ripetersi che sono sicuro dev'essere facile da bypassare. Molto spesso, il sito Web filtrerà le virgolette e / o "< >". Questo non è un problema enorme quando si tratta di uno script vero e proprio, dato che può essere aggirato usando un metodo diverso o offuscando lo script, il vero problema è quando ho bisogno di uscire da un tag HTML. Ad esempio:

<input class="user-control-search-textbox" type="text" name="tx_indexedsearch[sword]" value="onmouseover='javascript:alert(0)'" id="tx-indexedsearch-searchbox-sword" />

Come puoi vedere, il javascript non verrà eseguito perché è all'interno delle quotazioni per il valore, e quindi non viene trattato come codice eseguibile ma come ricerca effettiva. Il problema è che non riesco a fuggire da questo come quando metto in "> si trasforma in

value="&quot;&gt;onmouseover='javascript:alert(0)'" 

e quindi il tag non è chiuso in quanto non viene utilizzato il carattere attuale.

Quello che vorrei sapere è se è possibile chiudere il tag senza usare il carattere attuale (in questo caso " e > ) mentre vengono filtrati, o se posso nascondere il carattere in alcuni modo ma continua a leggere come chiudere il tag.

Se qualcuno può aiutarmi, ti ringrazio molto, probabilmente è una domanda stupida.

    
posta Barry 03.01.2013 - 02:11
fonte

2 risposte

3

Non in generale, no.

Gli attacchi al livello di codifica come UTF-7 funzionano specificando i caratteri ASCII per produrre un contenuto in byte che è interpretato in modo molto diverso ingannando la codifica di un browser che indovina l'euristica, ma la maggior parte dei browser moderni sono esperti in questo genere di cose.

Se la pagina finisce per essere elaborata da un gateway mobile buggato, da un servizio di traduzione della lingua o da altro sistema che cerca di essere utile convertendo caratteri non ASCII in "equivalenti" ASCII, allora versioni a larghezza intera come potrebbero essere convertito in &gt; .

    
risposta data 03.01.2013 - 06:25
fonte
0

Vedi link , che descrive come l'analisi HTML funziona a un livello molto dettagliato.

Si dice che nulla tranne " o & può ottenere lo stato del parser html modificato da attributo-valore in altro stato.

    
risposta data 14.03.2014 - 16:27
fonte

Leggi altre domande sui tag