Come difendersi da UTF7 / 8 non valido che nasconde un tag di script?

3

Sto eseguendo la scansione del codice HTML prima che raggiunga un browser e ho appena sentito un tipo di exploit che utilizza sequenze UTF7 o UTF8 non valide per incorporare un tag script altrimenti invisibile, che viene utilizzato per eseguire codice arbitrario.

Non ho mai visto una sequenza del genere e sono curioso di sapere com'è, in modo da poter eseguire una semplice chiamata strstr per individuarli.

Grazie per l'aiuto.

    
posta Rufus 27.06.2012 - 19:46
fonte

2 risposte

1

La prima linea di difesa dovrebbe essere l'input di sanitizzazione. In altre parole, assicurati di accettare solo valido UTF-8 o qualsiasi altro formato che ti aspetti.

Il percorso della sostituzione delle stringhe si basa sull'elenco nero. La lista nera è sempre un passo indietro e, a causa di ciò, non funzionerà. La tua seconda linea di difesa (dopo la disinfezione) dovrebbe invece essere White-listing.

    
risposta data 28.06.2012 - 12:32
fonte
0

Forse il seguente link ti aiuterà:

XSS CheatSheet

È un cheatsheet che contiene molti esempi XSS tra cui quelli UTF.

    
risposta data 28.06.2012 - 12:20
fonte

Leggi altre domande sui tag