Vettori XSS per nuova immagine ()

1

Quali sono i possibili vettori XSS per questo codice JavaScript

new Image().src = encodeURI('[user url here]');

Supponiamo due casi:

  • [user url here] è una stringa fornita dall'utente (senza convalida)
  • [user url here] è un url valido (convalidato da Django URLValidator )

Immagino che ci siano molti vettori per il primo caso, es.

javascript:alert('XSS')

Ma per quanto riguarda il secondo caso? Ci sono dei vettori conosciuti?

UPDATE: L'unico vettore che riesco a pensare è l'attacco di sniffing MIME

    
posta Paul Podlipensky 12.06.2014 - 21:58
fonte

0 risposte

Leggi altre domande sui tag