Prevenzione XSS tramite black-listing

Ho trovato alcuni collegamenti che potrebbero darti una risposta:

link

link

Lasciatemi concludere le risposte:

<img src="fileThatDoesNotExist" onerror="javascript:window.onerror=alert;throw 'XSS'" dummyParam=""; ?> >

o

<img src="fileThatDoesNotExist" onerror="location.href='data:text/html;base64,PHNjcmlwdD5hbGVydCgiWFNTIik8L3NjcmlwdD4='" dummyParam=""; ?> >

Tuttavia, è possibile vedere che la lista nera non funziona. L' Elenco di evasione dei filtri XSS mostra tonnellate di possibilità su come ingannare un filtro. Dovresti piuttosto sfuggire all'input corretto.

Oltre agli esempi JavaScript che sono già stati menzionati, le parentesi possono anche essere nascoste con diverse codifiche sia di XML che di JavaScript.

Ma anche se nessuno sapesse come bypassare il filtro, ciò non proverebbe nulla. Potrebbe semplicemente essere una mancanza di conoscenza o creatività da parte nostra. Chi conosce tutte le stravaganti funzioni JavaScript e le stranezze del browser?

La lista nera semplicemente non è la risposta. Molte persone intelligenti lo hanno provato e hanno pensato di aver finalmente scritto il filtro XSS perfetto, ma poi è arrivato un aggressore ancora più intelligente e hanno dimostrato che avevano torto. È una corsa agli armamenti infinita.

Per quanto possa essere allettante accettare la sfida, è molto meglio evitarlo. Semplicemente non permettere ai tuoi utenti di iniettare qualsiasi codice JavaScript, e non dovrai preoccuparti di trovare le parti danneggiate.

Come hanno detto gli altri, non è così semplice come la lista nera. L'offuscamento del codice può superarlo. Non ho davvero voglia di mostrare un esempio di non essere fantastico con JavaScript. Inoltre, ci sono molti trucchi per bypassare questi filtri. Se hai il tempo suggerirei di leggere l'iniezione XSS: attacco e difesa.