Saliendo del atributo entre comillas dobles

Question

Saliendo del atributo entre comillas dobles

#1 de rook (7 votos)
#2 de Cristian Dobre (0 votos)

3

Tengo un código que permite

[url]someurl[/url]

BB-Code y lo reemplaza con

<a href="someurl">someurl</a>

Se requieren dos precauciones para prevenir XSS.

Reemplaza < , > y " usando un simple str_replace .
Utiliza una expresión regular para detectar los manejadores de protocolo javascript: y data: .

Dado que los navegadores descodifican el valor del atributo antes de seguir interpretándolo, puedes sortear la comprobación de expresiones regulares mediante la codificación de la URL usando [url]&#x6A ... [/url] .

Así obtengo:

<a href="javascript:alert(1)">javascript:alert(1)</a>

En pocas palabras, quiero más que un atributo de steenkin (¿¡quién haría clic en un enlace con ese aspecto ?!)

¿Puedo codificar de alguna manera mi " , < , etc. para que no sea reemplazado por el str_replace pero todavía se interprete en el contexto de HTML?

web-application html xss bbcode

pregunta er4z0r 15.01.2013 - 12:09

fuente

2 respuestas

Lea otras preguntas en las etiquetas web-application html xss bbcode

¿Cuáles son las leyes internacionales que debemos conocer en la industria de InfoSec que conocemos? Cómo aplicar FIPS a la base de datos de Microsoft Access con VBA personalizado

score 7 · Answer 1

Un enfoque de lista negra siempre será defectuoso. Por ejemplo, en internet explorer puede usar el URI vbscript: para ejecutar el código vbscript. También hay formas de codificar javascript: para omitir esta comprobación. Ha habido un gran número de explotaciones de iTunes que se basan en el URI itunes: para explotar iTunes desde el navegador. Estos son solo dos ejemplos, pero en realidad podría haber un controlador de URI registrado en un sistema de destino.

Ejecutaría esto a través de una rutina htmlencode para codificar todas las comillas y los corchetes angulares. El beneficio de esto es que la URL podría legítimamente contener comillas sin dañarse. Esto se debe a que el navegador realizará automáticamente una decodificación html de todos los valores de atributo a medida que se cargan. Entonces haría cumplir que los primeros 4 caracteres son http . Si la cadena no comienza con http:// o https:// , prepárese http://

score 0 · Answer 2

Aunque puedes engañar a alguien para que haga clic en un enlace como este:

Javascript: an_open_source_clientside_scripting_language_commonly_implemented_as_part_part_part_part__party_party_party_party_party_party_party_party_party_party_party_party_party_party_party_party_party_party_par_create_in_create_as_part_party_party_party_party_party_party_part__y_create_in_create_as_part_party_party_party_part_upplemented_alta_partido function an_open_source_clientside_scripting_language_commonly_implemented_as_part_of_a_web_browser_in_order_to_create_enhanced_user_interfaces_and_dynamic_websites () {alert (1)}

Puedes probar la evasión codificación UTF7 pero ya no se admite en los navegadores modernos.