img 16 진 코드로 xss 공격

Question

최근 XSS가 내 사이트의 큰 스레드임을 알게되었습니다. 나는 사용자 입력 필터링과 같은 것을 막기 위해 여러 가지 조치를 취했다. 무엇이든 자바 스크립트와 관련이있다.

나는 최근에 javascript가 16 진수 코드로 인코딩 될 수 있다는 것을 알아 냈는데, 내가 만들려고 노력했다. 문제가

javascript:alert('XSS'); 

는이 코드가 제대로 작동하지 않는

, 내가 있는지를 테스트하지 못할 :

<img src=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69 &#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27 &#x58&#x53&#x53&#x27&#x29> 

이 코드는 자바 스크립트입니다 : 그것은 나 자신, 내가 XSS 방지 사이트에서 이걸 발견 이런 종류의 물건 정말 w orks. 이 문제는이

<img src="javascript:alert('XSS')"> 

하지만 (개똥 벌레) 같은 바이올린 쇼 무언가로 출력해야한다 http://jsfiddle.net/CCgT3/

:

<img &#x58&#x53&#x53&#x27&#x29="" &#x70&#x74&#x3a&#x61&#x6c&#x65&#x72&#x74&#x28&#x27="" src="javascri"> 

가 여기

은 JS 바이올린의 16 진수가 잘못 됐어?

Answer 1

는 src 속성의 공백을 제거하려고 :

<img src=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29> 

그런 다음 그것을 작동합니다.