XSS cuando, y "se escapan?

4

Estoy haciendo una prueba de un sitio web que tiene un XSS reflejado, o al menos un vector para una reflexión, pero el problema es el siguiente:

  • Escapa a < , > , " a sus entidades HTML, pero no a & , ) o ( .
  • No estás en una etiqueta, así que debes crear la tuya propia.

No es la primera vez que veo implementaciones de este tipo. Express.js tiene esto por defecto, por ejemplo. ¿Están las implementaciones como estas a salvo de XSS?

    
pregunta Awake Zoldiek 11.12.2013 - 01:33
fuente

2 respuestas

10

No, eso no es necesariamente suficiente. Hay muchos vectores XSS que pueden potencialmente aplicarse, dependiendo de dónde se encuentre el punto de inyección.

Algunos ejemplos:

  • Inyección en valores de atributo no cotizados

  • Inyección en los valores de atributo citados con una comilla simple ( ' en lugar de " )

  • Inyección en CSS

  • Inyección en Javascript

  • Inyección en comentarios

... y mucho más. Debe realizar un escape sensible al contexto, y definitivamente necesita escapar con un mínimo de < , > , " , ' , más algunos más en algunos contextos. Pasa algún tiempo en el sitio de OWASP; hay toneladas escritas allí, y esto se explica con gran detalle.

    
respondido por el D.W. 11.12.2013 - 02:41
fuente
2

a veces también escapan del parámetro "alerta", entonces puedes usar algo como "onMouseOver", etc., y puedes encontrar el enlace completo aquí. enlace (intente con los localizadores xss)

además, puede usar% 3C en lugar de < y así... intente la codificación url etc.

y si el texto está codificado en segundo plano, es posible que xss no funcione ...

    
respondido por el cengizUzun 11.12.2013 - 09:35
fuente

Lea otras preguntas en las etiquetas