Фильтрация скобок и кавычек при XSS

Discussion in 'Песочница' started by Ditss, 24 Dec 2015.

  1. Ditss

    Ditss New Member

    Joined:
    5 Nov 2015
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Можно ли обойти фильтрацию скобок и кавычек при XSS атаке? Скрипт фильтрует и выдает безопасный html-код в браузер...
    Заранее спасибо!
     
  2. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,664
    Likes Received:
    912
    Reputations:
    363
    какие скобки? какие кавычки?
     
    _________________________
  3. Ditss

    Ditss New Member

    Joined:
    5 Nov 2015
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    "", '', <, >
     
  4. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,664
    Likes Received:
    912
    Reputations:
    363
    есть много возможных вариантов, но зависит от условий. это может быть дабл урл енкод, утф енкод.
     
    _________________________
  5. Ditss

    Ditss New Member

    Joined:
    5 Nov 2015
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Спасибо. Фильтрутся данные символы и возвращает в браузер:«<» → «&lt;», «>» → «&gt;»...
     
  6. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    609
    Reputations:
    1,101
    Нельзя. Но если текст попадает в начало страницы - можно использовать кодировку UTF-7 в некоторых редких случаях (только для IE). Можете поискать публикации на эту тему.
     
Loading...