XSS quando, e "sono sfuggiti?

4

Sto ripetendo un sito web che ha un XSS riflesso, o almeno un vettore per un riflesso, ma il problema è il seguente:

  • Esce < , > , " alle loro entità HTML, ma non & , ) o ( .
  • Non sei in un tag, quindi devi crearne uno tuo.

Non è la prima volta che vedo implementazioni di questo tipo. Express.js ha questo di default per esempio. Le implementazioni come queste sono al sicuro da XSS?

    
posta Awake Zoldiek 11.12.2013 - 01:33
fonte

2 risposte

10

No, non è necessariamente sufficiente. Esistono molti vettori XSS che possono potenzialmente ancora essere applicati, a seconda di dove si trova il punto di iniezione.

Alcuni esempi:

  • Iniezione in valori di attributo non quotati

  • Iniezione nei valori degli attributi citati con una virgoletta singola ( ' anziché " )

  • Iniezione nei CSS

  • Iniezione in Javascript

  • Iniezione nei commenti

... e molto altro. È necessario eseguire l'escape sensibile al contesto e si deve assolutamente scappare al minimo < , > , " , ' , più alcuni in alcuni contesti. Passa un po 'di tempo sul sito OWASP; ci sono tonnellate scritte lì, e questo è spiegato in dettaglio.

    
risposta data 11.12.2013 - 02:41
fonte
2

a volte escono anche i parametri "alert", quindi puoi usare qualcosa come "onMouseOver" ecc. e puoi trovare il link completo qui. link (prova i localizzatori xss)

inoltre puoi utilizzare% 3C in-cerca di < e così via... prova la codifica url ecc.

e se il testo è codificato in background, xss potrebbe non funzionare ...

    
risposta data 11.12.2013 - 09:35
fonte

Leggi altre domande sui tag