Sto ripetendo un sito web che ha un XSS riflesso, o almeno un vettore per un riflesso, ma il problema è il seguente:
< , > , " alle loro entità HTML, ma non & , ) o ( . Non è la prima volta che vedo implementazioni di questo tipo. Express.js ha questo di default per esempio. Le implementazioni come queste sono al sicuro da XSS?
No, non è necessariamente sufficiente. Esistono molti vettori XSS che possono potenzialmente ancora essere applicati, a seconda di dove si trova il punto di iniezione.
Alcuni esempi:
Iniezione in valori di attributo non quotati
Iniezione nei valori degli attributi citati con una virgoletta singola ( ' anziché " )
Iniezione nei CSS
Iniezione in Javascript
Iniezione nei commenti
... e molto altro. È necessario eseguire l'escape sensibile al contesto e si deve assolutamente scappare al minimo < , > , " , ' , più alcuni in alcuni contesti. Passa un po 'di tempo sul sito OWASP; ci sono tonnellate scritte lì, e questo è spiegato in dettaglio.
a volte escono anche i parametri "alert", quindi puoi usare qualcosa come "onMouseOver" ecc. e puoi trovare il link completo qui. link (prova i localizzatori xss)
inoltre puoi utilizzare% 3C in-cerca di < e così via... prova la codifica url ecc.
e se il testo è codificato in background, xss potrebbe non funzionare ...
Leggi altre domande sui tag web-application attacks appsec xss