2
说我想恶意地调用已经定义的函数myfunc()。xss绕过尖括号和双引号转义
如何绕过双引号和尖括号转义来实现xss攻击?
<h2>Profile of INPUTNAME</h2><p>INPUT2</p><a href="INPUTURL">Homepage</a>
(上盒领域是用户输入) 我怎么能叫MYFUNC()不增加它周围的脚本标记?
A
回答
1
你可以试试这些注射
INPUTNAME=<img src=X onerror=myfunc>
INPUTURL="><img src=X onerror=myfunc>
将尝试调用MYFUNC javascript函数,因为它将无法加载名为X
2
(UN)的图像幸运似乎XSS不会在这种情况下是可能的。
如果尖括号和双引号字符被转义,这足以阻止HTML正文中的XSS和双引号实体值上下文。
从技术上讲,对于HTML正文XSS Experimental Minimal Encoding Rules,&字符也应该被编码,但我不能在这里看到一种方法来将它用于HTML正文或实体值中的攻击者的优势。
唯一的例外是如果该字符集被指定为UTF-7 (or as the attacker you could change it to such) then you could use the following attack:
INPUTNAME = +ADw-script+AD4-myfunc()+ADw-/script+AD4-
这将被渲染为
<h2>Profile of <script>myfunc()</script></h2><p>INPUT2</p><a href="http://example.com">Homepage</a>
+0
UTF-7是否适用于现代浏览器?在''标签中设置它似乎没有任何作用。 – 2015-06-18 03:39:18
+0
是的,Internet Explorer仍然支持它(不是Chrome或FF)。您可能需要将内容类型设置为HTTP标头而不是元标签。 – SilverlightFox 2015-06-18 12:10:07
+0
如果你躲避'&',攻击者可能用unicode编码有效载荷? – 2016-05-26 04:11:27
相关问题
- 1. opencsv转义单引号和双引号
- 2. Ansible转义双引号和单引号
- 3. Excel转义单引号和双引号
- 4. C#字符串插值转义双引号和花括号
- 5. 转义双引号
- 6. Oracle和尖括号
- 7. 转义双引号与单引号
- 8. 尖括号
- 9. IRB的转义双引号
- 10. php转义双引号
- 11. 转义双引号在sed
- 12. XSLT 1.0:转义双引号
- 13. Response.GetResponseStream()转义双引号
- 14. 转义双引号修复
- 15. 使用Javascript中的单引号和双引号转义和转义字符串
- 16. jQuery和Smarty函数转义双引号
- 17. 转义双引号和网页
- 18. JSF和骨干/ underscore.js - 双引号转义
- 19. jQuery:如何用反斜杠转义单引号和双引号
- 20. 在jquery工具提示中转义双引号和单引号
- 21. 转义单引号和双引号 - jQuery或Javascript
- 22. 单引号和双引号如何转义函数?
- 23. 如何在MySQL select中转义单引号和双引号?
- 24. 如何在SED中转义双引号和单引号? (bash)
- 25. 尖括号结构
- 26. 使用带尖括号和引号的fwrite
- 27. JQuery转义撇号和双撇号?
- 28. MySql由双引号括起
- 29. 搜索用双引号括号
- 30. 只删除双引号前,方括号
我已经试过了,但双引号和尖括号被编码,因此不能生成有效的html语句。 – ccczhang 2015-04-03 04:56:57
嗯,那么它将会更加困难,但会尝试使用空字节,例如%00
...如果您将验证或编码委托给本地调用(如C),它将会工作。如果INPUTURL没有被引用,我们可以尝试许多其他的东西,但由于它被引用,我们不能注入JS调用。 –
2015-04-03 05:06:47