Cerrar una etiqueta HTML sin usar el carácter real

5

Actualmente estoy aprendiendo a realizar XSS en sitios web, pero hay un problema constante que sigue siendo recurrente y estoy seguro de que debe evitarse. Muy a menudo, el sitio web filtrará las comillas y / o "< >". Este no es un gran problema cuando se trata de la secuencia de comandos real, ya que se puede omitir utilizando un método diferente u ofuscando la secuencia de comandos, el problema real es cuando necesito escapar de una etiqueta HTML. Por ejemplo:

<input class="user-control-search-textbox" type="text" name="tx_indexedsearch[sword]" value="onmouseover='javascript:alert(0)'" id="tx-indexedsearch-searchbox-sword" />

Como puede ver, el javascript no se ejecutará porque está dentro de las comillas por valor y, por lo tanto, no se trata como un código ejecutable sino como una búsqueda real. El problema es que no puedo evitar que se escape de esto, ya que cuando pongo "> se convierte en

value="&quot;&gt;onmouseover='javascript:alert(0)'" 

y, por lo tanto, la etiqueta no se cierra porque no se usa el carácter real.

Lo que me gustaría saber es si es posible cerrar la etiqueta sin usar el carácter real (en este caso, " y > ) ya que se filtran, o si puedo ofuscar el carácter en algunos de manera pero aún se puede leer como cerrar la etiqueta.

Si alguien puede ayudarme, te lo agradezco mucho, probablemente sea una pregunta estúpida.

    
pregunta Barry 03.01.2013 - 02:11
fuente

2 respuestas

3

No en general, no.

Los ataques en el nivel de codificación como UTF-7 funcionan especificando caracteres ASCII para producir un contenido de bytes que se interpreta de manera muy diferente al engañar a la codificación de un navegador para adivinar las heurísticas, pero la mayoría de los navegadores modernos son expertos en ese tipo de cosas.

Si la página termina siendo procesada por una pasarela móvil con errores, un servicio de traducción de idiomas u otro sistema que intenta ser útil al convertir los caracteres no ASCII a "equivalentes" ASCII, entonces las versiones de ancho completo como podrían ser convertido a &gt; .

    
respondido por el Mike Samuel 03.01.2013 - 06:25
fuente
0

Consulte enlace , que describe cómo funciona el análisis de HTML en un nivel muy detallado.

Dice que nada, excepto " o & , puede hacer que el estado del analizador html cambie de valor de atributo a otro estado.

    
respondido por el Albert 14.03.2014 - 16:27
fuente

Lea otras preguntas en las etiquetas