XSS Vector senza simboli o segno uguale?

1

Mi chiedo solo se qualcuno potrebbe darmi una mano con alcuni Vettori XSS che funzionano senza avere il < o > simboli. Fondamentalmente l'input viene rimosso da < e > simboli e qualsiasi segno di uguale tale che se dovessi inserire

<body onload="alert('XSS')">

come vettore, solo questo sarebbe visualizzato sulla pagina:

body onload

(I simboli < e > sono solo rimossi, anche i segni di uguale vengono rimossi insieme a tutto ciò che li segue)

I piccoli simboli di carota lateralmente e i segni di uguale sono l'unica parte dell'input dell'utente che non è sanata. Quindi possono esserci parentesi, punti e virgola, due punti, parentesi, ecc. Sarebbe anche possibile creare un carico utile di lavoro da un vettore che soddisfi questi requisiti?

    
posta Jason Rigley 30.01.2016 - 10:56
fonte

1 risposta

4

Quindi l'atterraggio di un XSS in cui è possibile eseguire alcuni filtri può essere eseguito in vari modi. Una considerazione importante è dove l'input dell'utente appare nella pagina risultante. Ad esempio, se l'input dell'utente sta atterrando nel mezzo di un blocco JavaScript, i filtri che stai vedendo non rallenteranno affatto, qualcosa come ');alert(1); potrebbe funzionare bene.

Se stai atterrando nel mezzo di un elemento HTML o in un valore di parametro, potrebbe essere un po 'più complicato. Un primo attacco potrebbe essere quello di provare a codificare il tuo vettore o aggiungere istanze aggiuntive dei tuoi personaggi per catturare filtri ingenui che non canonicalizzano correttamente i dati prima di filtrarli. Buone fonti di potenziali vettori per questo tipo di cose sono HTML5 Security Cheatsheet e OWASP XSS Filter Evasion Cheatsheet

    
risposta data 30.01.2016 - 11:32
fonte

Leggi altre domande sui tag