私はXSS攻撃と予防方法について学んでいます。今はXSS(DOM)について考えています。XSSを実行するURLエンコード(クライアント側)を
ほとんどのブラウザでは、JavaScriptの注入を防ぐためにURLから取得されたコンテンツがエンコードされています。 < ./のようなシンボルは無視されます。 この種の保護をバイパスするために読まれたのが、二重エンコードを使用することができます。
www.xss/COM /デフォルト= 123%253Cscript%253Ealert( 'XSS')%の253C%252Fscript%253E
それは与えなかった。二重符号化を使用する
例私には肯定的な結果があります
あなたは何を提案しますか、どのようにあなたは以下のURLを悪用しますか?
www.xss/COM/www.xss.com/default=123
残念ながら、あなたの提案はうまくいかない – trm0808