Фильтрация скобок и кавычек при XSS

Discussion in 'Песочница' started by Ditss, 24 Dec 2015.

  1. Ditss

    Ditss New Member

    Joined:
    5 Nov 2015
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Можно ли обойти фильтрацию скобок и кавычек при XSS атаке? Скрипт фильтрует и выдает безопасный html-код в браузер...
    Заранее спасибо!
     
    #1 Ditss, 24 Dec 2015
  2. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    какие скобки? какие кавычки?
     
    _________________________
    #2 yarbabin, 24 Dec 2015
  3. Ditss

    Ditss New Member

    Joined:
    5 Nov 2015
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    "", '', <, >
     
    #3 Ditss, 24 Dec 2015
  4. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    есть много возможных вариантов, но зависит от условий. это может быть дабл урл енкод, утф енкод.
     
    _________________________
    #4 yarbabin, 24 Dec 2015
  5. Ditss

    Ditss New Member

    Joined:
    5 Nov 2015
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Спасибо. Фильтрутся данные символы и возвращает в браузер:«<» → «&lt;», «>» → «&gt;»...
     
    #5 Ditss, 24 Dec 2015
  6. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Нельзя. Но если текст попадает в начало страницы - можно использовать кодировку UTF-7 в некоторых редких случаях (только для IE). Можете поискать публикации на эту тему.
     
    #6 randman, 27 Dec 2015
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.