2
<と>がエンコードされている間にxss攻撃が可能ですか?例えば :< and >がエンコードされている間にhtmlタグ間でxss攻撃が可能
<tag>{{output}}</tag>
"<"、 ">" {{出力}}には、に符号化される場合、 "& LT;"、 "& GT;"、および<tag>が起こるXSSでき、<script>することはできませんか?
A
答えて
3
まず、独自のXSSフィルタを手動で実装することは、ほとんど常にひどい考えです。。
ペイロードを符号化することによって、一般に非常に簡単に回避できます(たとえば、<は%60などとエンコードされたURLにすることができます)。可能であれば、プラットフォームによって提供されるネイティブのエスケープ関数を使用する方がはるかに安全です(さらに好ましい)。たとえば、PHPではhtmlspecialchars、Pythonではhtml.escapeなどとなります。特定の例において
あなたの出力は内間タグはなく、が挿入されているので、XSSは、それらは、(属性値のように)<又は>では不可能です。 " onerror="alert(1)の値を挿入すると、このXSSにつながる
<img src="{{output}}">
::あなたの元のフィルタは、次のような他のシナリオにXSSに対する保護ではないでしょう
<img src="" onerror="alert(1)">
あなたが助けることができる場合は、独自のフィルタを実装しないでくださいそれ。ここではいくつかのOWASPのドキュメントです:
関連する問題
- 1. スクリプトがHTMLテキストエリアに表示されている場合、XSS攻撃は可能ですか?
- 2. PHPでURLエンコードされたXSS攻撃を防止する
- 3. XSS攻撃やスタイルが似
- 4. XSS攻撃
- 5. XSS攻撃防止
- 6. XSS攻撃を防ぐ
- 7. XSS攻撃を防止する
- 8. できXSS攻撃の使用スパン、P、ラベル...タグ
- 9. SQLインジェクション攻撃のフォーマットが間違っていますか?
- 10. ブラウザ間でCSSが表示されない<a>タグ
- 11. 最新のブラウザでは、DOMベースのXSS攻撃はまだ可能ですか?
- 12. JavascriptとXSS攻撃の防止
- 13. XSS攻撃を防ぐ方法tomcat 5.5
- 14. XSS攻撃 - サニタイズ入力vs拒否
- 15. PHP_SELFとSCRIPT_NAME - XSS攻撃のエディション
- 16. xss攻撃/注射を防ぐ
- 17. PHPのXSS攻撃の例/種類
- 18. 防止する方法<script>アラート( 'xss vector');</script>種類の攻撃ですか?
- 19. ScriptResource.axd攻撃は可能ですか?
- 20. 特定のXSS攻撃のベクトルについての説明が必要
- 21. 中間攻撃者 - 対称キーを使用すると、そのような攻撃が発生する可能性がありますか?
- 22. 公開されているRESTfulサービスはXSS攻撃をチェックする必要があります
- 23. HTTPS攻撃とMITM攻撃
- 24. asp:boundcolumnでxss攻撃を実行する方法
- 25. ROP攻撃チェーンが引数として検出されない
- 26. Html <a>タグがAndroidのテキストビューで機能しない
- 27. SyndicationItemコンテンツ< >は<&GTにエンコードされている
- 28. jquery appendとjavascript htmlタグでappendChildが機能しない期間
- 29. XSS攻撃からApacheサーバのディレクトリリストを保護する方法
- 30. NServiceBusの中間攻撃に対処する人
ええ、私は「あなた自身のXSSフィルタを実装するほとんど常にひどいアイデアだ」の点に同意する....まあ、戻ってきますこの質問には、jqueryメソッドのテキスト(入力)が "<", ">"を "<"、 ">。 – lwwwzh
"にエンコードするxssを防ぐのに十分安全かどうかを調べたいだけです。 src = "brokenSrc" onerror = "alert( 'XSS');"をimgに追加します。 安全。 – Dane
あなたのアドバイスの範囲は、私が同意しない点だけです。 「あなた自身のセキュリティを実装することは、ほとんどの場合、ひどい考えです」。 – Aron