"&" carattere nell'URL [duplicato]

Naviga le tue risposte
1

Penso di aver trovato un bug nel mio sito ma non so quanto sia pericoloso.

Il mio sito web ti reindirizzerà a una pagina di avviso ogni volta che fai clic su un link che viene incollato nella sezione dei commenti.

L'URL della pagina di avviso è composto da

link

Se provi a modificare il codice della firma o l'url, ti verrà chiesto "Qualcosa non ha funzionato, riprova più tardi".

Ora se aggiungi un "&" dopo la firma non succederà nulla! per esempio:.

link

Questo comportamento è pericoloso o sfruttabile comunque?

Grazie in anticipo

    
posta Mico 13.04.2015 - 16:40
fonte

2 risposte

2

Il carattere di e commerciale viene utilizzato per separare gli argomenti forniti all'URL quando vengono utilizzati più argomenti. Nel tuo primo esempio lo script riceve i seguenti argomenti 

signature=xxxxxxxxxxxxxxxxxxxxxxxxxxxx
url=http%3A%2F%google.com%2F

Nel tuo secondo esempio lo script riceve i seguenti argomenti: 

signature=xxxxxxxxxxxxxxxxxxxxxxxxxxxx
NothingHappend!=
url=http%3A%2F%google.com%2F

Come puoi vedere hai aggiunto un argomento addizionale, tuttavia dato che gli altri argomenti non sono cambiati e il tuo script (probabilmente) non usa l'argomento "NothingHappened", non ha alcun effetto sullo script in alcun modo.

    
risposta data 13.04.2015 - 16:48
fonte
0

Se il parametro signature è basato sull'input dell'utente, potrebbe essere possibile per un utente inserire un & in esso e interrompere questa funzionalità. Non vedo come questo possa essere sfruttato, tuttavia la best practice è sanificare il valore dei parametri influenzati dall'input dell'utente.

    
risposta data 13.04.2015 - 18:38
fonte

Leggi altre domande sui tag

Quanto è facile la tempera del codice JavaScript per un'applicazione mobile? [chiuso] ROP Attack: forza il programma a manipolare un'istruzione come gadget