Scomposizione dell'attributo tra virgolette

Question

Scomposizione dell'attributo tra virgolette

#1 da (7 voti)
#2 da (0 voti)

3

Ho un pezzo di codice che consente

[url]someurl[/url]

Codice BB e lo sostituisce con

<a href="someurl">someurl</a>

Ci vogliono due precauzioni per prevenire XSS.

Sostituisce < , > e " utilizzando un str_replace semplice.
Utilizza un'espressione regolare per rilevare javascript: e data: gestori di protocollo.

Poiché i browser decodificano il valore dell'attributo prima di interpretarlo ulteriormente, puoi aggirare il controllo regex codificando l'URL utilizzando [url]&#x6A ... [/url] .

Quindi ricevo:

<a href="javascript:alert(1)">javascript:alert(1)</a>

Per farla breve: voglio più di un attributo steenkin (chi farebbe clic su un collegamento simile?!)

Posso in qualche modo codificare il mio " , < , ecc. quindi non verrà sostituito da str_replace ma sarà comunque interpretato nel contesto di HTML?

html web-application xss bbcode

posta er4z0r 15.01.2013 - 13:09

fonte

2 risposte

Leggi altre domande sui tag html web-application xss bbcode

C'è comunque qualcuno che potrebbe introdursi nel mio cervello? Come proteggere un'applicazione sotto iOS da dispositivi jailbroken

score 7 · Answer 1

Un approccio alla lista nera sarà sempre imperfetto. Ad esempio, in internet explorer puoi usare l'% URI vbscript: per eseguire il codice vbscript. Esistono anche modi per codificare javascript: per ignorare questo controllo. Ci sono stati un gran numero di exploit di iTunes che si basano sull'URL itunes: per sfruttare itunes dal browser. Questo è solo due esempi, ma in realtà potrebbe esserci un gestore URI registrato su un sistema di destinazione.

Eseguo questa procedura tramite una routine htmlencode per codificare tutte le virgolette e le parentesi angolari. Il vantaggio di questo è che l'URL potrebbe legittimamente contenere le virgolette senza essere danneggiato. Questo perché il browser eseguirà automaticamente una decodifica html di tutti i valori degli attributi mentre vengono caricati. Quindi applicherò che i primi 4 caratteri sono http . Se la stringa non inizia con http:// o https:// , quindi anteporre http://

score 0 · Answer 2

Puoi indurre qualcuno a fare clic su un link come questo però:

Javascript: an_open_source_clientside_scripting_language_commonly_implemented_as_part_of_a_web_browser_in_order_to_create_enhanced_user_interfaces_and_dynamic_websites (); function an_open_source_clientside_scripting_language_commonly_implemented_as_part_of_a_web_browser_in_order_to_create_enhanced_user_interfaces_and_dynamic_websites () {alert (1)}

Potresti provare codifica UTF7 evasione ma non è più supportato nei browser moderni.