PDA

Просмотр полной версии : Фильтрация скобок и кавычек при XSS

Ditss
24.12.2015, 11:41
Можно ли обойти фильтрацию скобок и кавычек при XSS атаке? Скрипт фильтрует и выдает безопасный html-код в браузер...

Заранее спасибо!
faza02
24.12.2015, 11:46
какие скобки? какие кавычки?
Ditss
24.12.2015, 12:08
yarbabin said:
↑ (https://antichat.live/posts/3931404/)
какие скобки? какие кавычки?


"", '',
faza02
24.12.2015, 15:51
есть много возможных вариантов, но зависит от условий. это может быть дабл урл енкод, утф енкод.
Ditss
24.12.2015, 16:28
yarbabin said:
↑ (https://antichat.live/posts/3931518/)
есть много возможных вариантов, но зависит от условий. это может быть дабл урл енкод, утф енкод.


Спасибо. Фильтрутся данные символы и возвращает в браузер:«» → «>»...
XAMEHA
27.12.2015, 06:52
Нельзя. Но если текст попадает в начало страницы - можно использовать кодировку UTF-7 в некоторых редких случаях (только для IE). Можете поискать публикации на эту тему.