3
&에서 &으로 탈출하지 않는 곳에서 크로스 사이트 스크립팅의 취약점이있는 곳을 아는 사람이 있습니까? 나는 그것에 대해 생각했지만 예를 생각해 낼 수 없었다. 사전에XSS를 피해 피하는 이유
감사 Konne
A
답변
1
당신이
& # 39처럼 뭔가를 시도 할 수 + 경고 (1) + & # 39;
은 search.twitter.com에서 오늘 이전까지 작동했습니다.
https://twitter.com/#!/kinugawamasato/status/38539726470397952
0
많은 곳에 분사 랜드에 의존하지만, 단순한 예로들 수있는 HTML 인코딩 된 페이로드 자바 스크립트이다
<a href="javascript:alert(1)">XSS</a>
(1)시 XSS 링크를 발생되는 알림 클릭합니다. 이것은 iframe src, document.location =, window.open() 또는 html로 인코딩 된 페이로드가 디코딩 된 다음 실행되도록하는 다른 메서드에서도 사용할 수 있습니다.
또 다른 예는 분사와 URL을 반영한의 onEvent 내부 착륙 것 같은
<a onclick='http://www.foo.com?injection='*alert(1)*''>XSS</a>
인코딩 된 페이로드가 디코딩 될 HTML 상기의 onEvent 구문 벗어나 주입 된 자바 스크립트를 발생.
관련 문제
- 1. Java에서 biginteger 인스턴스화를 피하는 이유
- 2. CSS에서 XSS를 보호하려면 어떻게해야합니까?
- 3. Grails - flash.message에서 XSS를 피하는 가장 좋은 방법은 무엇입니까?
- 4. 어떻게 XSS를 방지합니까?
- 5. NVELocity에서 XSS를 처리하는 방법
- 6. XSS를 막는 자바 스크립트
- 7. XSS를 통해 PHP 코드를 실행
- 8. XSS를 금지하지만 모든 문자를 허용 하시겠습니까?
- 9. XSS를 방지하기 위해 c : out을 사용하는 대신
- 10. HTML 다운로드시 XSS를 피할 수 있습니까?
- 11. ASP.NET : XSS를 해결할 솔루션을 찾고 있습니다
- 12. 이유
- 13. 이유
- 14. 이유
- 15. 이유/내 변수가 0으로 설정되는 이유
- 16. Asp.NET MVC로 이동해야하는 이유 - 이동하지 않는 이유
- 17. PHP가없는 정적 페이지에서 XSS를 사용하여 공격받을 수 있습니까?
- 18. Google Wave & iGoogle은 위젯을 통해 XSS를 어떻게 방지합니까?
- 19. 기본 HTTPEncoder로 Microsofts WPL/Anti-XSS를 사용하는 방법?
- 20. XSS를 방지하면서 어떻게 <img>의 사용을 허용합니까?
- 21. C#에서 WMD 제어를 사용하여 XSS를 허용하지 않음
- 22. 이유 티카
- 23. mailto 성가심을 피하는 방법?
- 24. get_query_set() 호출을 피하는 방법
- 25. NullReferenceException을 피하는 방법
- 26. NSCachedImageRep을 피하는 방법
- 27. typedef를 피하는 방법은 무엇입니까?
- 28. outofmemory 오류를 피하는 방법
- 29. 다형성 연관을 피하는 방법
- 30. 반복 횟수를 피하는 방법
이것은 무엇입니까? 나는 정말로 그것을 얻지 않는다. –
이렇게하면 클라이언트 시스템에 경고 상자가 나타납니다. – TheTestManager