2
<と>がエンコードされている間にxss攻撃が可能ですか?例えば :< and >がエンコードされている間にhtmlタグ間でxss攻撃が可能
<tag>{{output}}</tag>
"<"、 ">" {{出力}}には、に符号化される場合、 "& LT;"、 "& GT;"、および<tag>が起こるXSSでき、<script>することはできませんか?
A
答えて
3
まず、独自のXSSフィルタを手動で実装することは、ほとんど常にひどい考えです。。
ペイロードを符号化することによって、一般に非常に簡単に回避できます(たとえば、<は%60などとエンコードされたURLにすることができます)。可能であれば、プラットフォームによって提供されるネイティブのエスケープ関数を使用する方がはるかに安全です(さらに好ましい)。たとえば、PHPではhtmlspecialchars、Pythonではhtml.escapeなどとなります。特定の例において
あなたの出力は内間タグはなく、が挿入されているので、XSSは、それらは、(属性値のように)<又は>では不可能です。 " onerror="alert(1)の値を挿入すると、このXSSにつながる
<img src="{{output}}">
::あなたの元のフィルタは、次のような他のシナリオにXSSに対する保護ではないでしょう
<img src="" onerror="alert(1)">
あなたが助けることができる場合は、独自のフィルタを実装しないでくださいそれ。ここではいくつかのOWASPのドキュメントです:
関連する問題
- 1. PHPでURLエンコードされたXSS攻撃を防止する
- 2. スクリプトがHTMLテキストエリアに表示されている場合、XSS攻撃は可能ですか?
- 3. XSS攻撃やスタイルが似
- 4. XSS攻撃
- 5. XSSの攻撃ベクトル
- 6. XSS攻撃防止
- 7. XSS攻撃を防ぐ
- 8. C#のXSS攻撃防御
- 9. XSS攻撃を防止する
- 10. できXSS攻撃の使用スパン、P、ラベル...タグ
- 11. WCFコールでのXSS攻撃の防止
- 12. 敵が攻撃している間に彼が死ぬことはない
- 13. 最新のブラウザでは、DOMベースのXSS攻撃はまだ可能ですか?
- 14. SQLインジェクション攻撃のフォーマットが間違っていますか?
- 15. ブラウザ間でCSSが表示されない<a>タグ
- 16. XSS攻撃 - サニタイズ入力vs拒否
- 17. XSS攻撃を防ぐ方法tomcat 5.5
- 18. JavascriptとXSS攻撃の防止
- 19. PHPのXSS攻撃の例/種類
- 20. 墓アクセント難読化XSS攻撃は、アイフレーム
- 21. xss攻撃/注射を防ぐ
- 22. PHP_SELFとSCRIPT_NAME - XSS攻撃のエディション
- 23. 防止する方法<script>アラート( 'xss vector');</script>種類の攻撃ですか?
- 24. ScriptResource.axd攻撃は可能ですか?
- 25. XSS攻撃:入力値が設定されているときにJSを実行できますか?
- 26. 特定のXSS攻撃のベクトルについての説明が必要
- 27. 中間攻撃者 - 対称キーを使用すると、そのような攻撃が発生する可能性がありますか?
- 28. GWTPアプリケーションでXSRF攻撃が可能です。
- 29. HTML:エンコードが間違っています
- 30. 時間の間Androidがロックされています<?>
ええ、私は「あなた自身のXSSフィルタを実装するほとんど常にひどいアイデアだ」の点に同意する....まあ、戻ってきますこの質問には、jqueryメソッドのテキスト(入力)が "<", ">"を "<"、 ">。 – lwwwzh
"にエンコードするxssを防ぐのに十分安全かどうかを調べたいだけです。 src = "brokenSrc" onerror = "alert( 'XSS');"をimgに追加します。 安全。 – Dane
あなたのアドバイスの範囲は、私が同意しない点だけです。 「あなた自身のセキュリティを実装することは、ほとんどの場合、ひどい考えです」。 – Aron